На 16 януари 2023 г. влязоха в сила Директивата относно мерките за постигане на високо общо ниво на киберсигурност в целия Съюз („Директивата NIS2“) и Директивата относно устойчивостта на критичните субекти („Директивата CER“). С Директивата NIS2 се отменя действащата Директива NIS и се създава по-обширен и хармонизиран набор от правила за киберсигурност за организациите, които осъществяват дейността си в рамките на Европейския съюз. С Директивата CER се отменя Директивата за европейската критична инфраструктура и се въвеждат нови, по-строги правила за кибернетичната и физическата устойчивост на критичните организации и мрежи.

Основните моменти в  Директивата NIS2

По-широк обхват на приложение

Броят на организациите, които подлежат на задължения съгласно Директивата NIS2, ще нарасне значително в сравнение с първоначалната рамка. Това се дължи до голяма степен на факта, че съгласно първоначалната Директива за NIS държавите членки трябваше да определят организациите, считани за съществени и следователно подлежащи на задълженията по първоначалната Директива за NIS, което вече не е така. Сега в новата Директива NIS2 се определя за кои организации се отнасят задълженията, което се равнява на по-широк обхват от субекти.

Например понятието „организации от съществено значение“ замества „оператори на съществени услуги“; вероятно повечето организации, класифицирани като „оператори на съществени услуги“ съгласно първоначалната Директива NIS, ще бъдат класифицирани като „организации от съществено значение“ съгласно Директивата NIS2. Въпреки това понятието „съществена организация“ е много по-широко и ще обхване и много организации, които досега не са били обект на режима на NIS – например фармацевтични компании и оператори на производство, съхранение и пренос на водород.

Освен това понятието „доставчик на цифрови услуги“, което беше включено в първоначалната директива за NIS, беше премахнато от директивата за NIS2 в полза на понятието „важни субекти“, което вероятно ще включва организациите, считани за „доставчици на цифрови услуги“ съгласно първоначалната директива за NIS, и допълнителни категории. Важните организации ще подлежат на по-строги задължения съгласно Директивата NIS2, отколкото доставчиците на цифрови услуги съгласно първоначалната Директива NIS.

Повече задължения

Съгласно Директивата  NIS2 основните и важните субекти трябва да прилагат технически, оперативни и организационни мерки за управление на рисковете, свързани със сигурността на техните мрежи и информационни системи, и за предотвратяване или свеждане до минимум на въздействието на инцидентите. Тези мерки трябва да обхващат, наред с другото, области като справяне с инциденти, непрекъсваемост на дейността, използване на криптиране и сигурно удостоверяване и обучение.

Докладване на инциденти

Съществените и важните субекти трябва да уведомяват без неоправдано забавяне националните екипи за реагиране при инциденти, свързани с компютърната сигурност (CSIRT), или, когато е приложимо, компетентния орган, за всеки инцидент, който има значително въздействие върху предоставянето на техните услуги. Стъпките за изпълнение на тези задължения включват:

  • „Ранно предупреждение“ в рамките на 24 часа след узнаването на инцидента, в което се посочва дали има съмнение, че инцидентът е причинен от незаконни или злонамерени действия или може да има трансгранично въздействие;
  • Уведомление за инцидент в рамките на 72 часа след узнаване на инцидента, което актуализира горепосочената информация и предоставя първоначална оценка на инцидента, включително по отношение на неговата сериозност и въздействие;
  • При поискване от CSIRT или от компетентния орган – междинен доклад; и
  • окончателен доклад не по-късно от един месец след подаване на уведомлението за инцидента. Окончателният доклад трябва да включва подробно описание на инцидента, включително вероятната причина за инцидента, приложените мерки за смекчаване на последиците и всяко трансгранично въздействие на инцидента.

 

В определени ситуации може да се изисква и уведомяване на получателите на услуги.

Изпълнение

Компетентните органи ще могат да разчитат на солиден набор от правомощия за правоприлагане и разследване, като например възможността да извършват обиски, да извършват одити на сигурността и да изискват данни, информация и документи (наред с други).

Важно е, че държавите членки трябва да предоставят на органите възможността да налагат значителни глоби:

  • За основните субекти – най-малко до 10 милиона евро или 2 % от световния годишен оборот.
  • За важни субекти – най-малко до 7 млн. евро или 1,4 % от световния годишен оборот.

Управителните органи на основните и важните субекти също могат да бъдат подведени под отговорност за неспазване на разпоредбите на Директивата NIS2.

 

Основните моменти от Директивата за CER

Новите правила ще засилят устойчивостта на критичната инфраструктура на редица заплахи, включително природни бедствия, терористични атаки, вътрешни заплахи или саботаж, като всички те, разбира се, могат да имат елемент на киберсигурност или друг свързан с тях елемент. Директивата за CER се прилага за 11 сектора, които се считат за критични: енергетика, транспорт, банково дело, инфраструктури на финансовите пазари, здравеопазване, питейна вода, отпадъчни води, цифрова инфраструктура, публична администрация, космическо пространство и храни.

Държавите членки ще трябва да разполагат с национална стратегия за повишаване на устойчивостта на критичните субекти, да извършват оценка на риска поне веднъж на четири години и да определят критичните субекти, които предоставят основни услуги. Критичните субекти ще трябва да идентифицират съответните рискове, които могат значително да нарушат предоставянето на основни услуги, да предприемат подходящи мерки, за да гарантират своята устойчивост, и да уведомяват компетентните органи за смущаващи инциденти.

Следващи стъпки

За разлика от регламентите на ЕС, директивите на ЕС нямат пряко действие в държавите членки на ЕС, което означава, че държавите членки трябва да транспонират изискванията на двете директиви в националното законодателство, преди те да станат приложими за съответните организации. Държавите членки ще разполагат с време до 17 октомври 2024 г., за да направят това и да публикуват мерките, необходими за постигане на съответствие с двата правни инструмента. Държавите членки ще прилагат тези мерки от 18 октомври 2024 г.

Запознайте се с  Директивата NIS2 и Директивата CER.

Източник: e-security.bg

Подобни публикации

23 януари 2025

Кибератаките влизат в топ 10 на рисковете за бъ...

Според Барометъра на риска на Алианц бизнесът в България определя к...
23 януари 2025

Тръмп помилва създателя на пазара на наркотици ...

Едва на втория ден от встъпването си в длъжност президентът Тръмп п...
23 януари 2025

Тръмп отменя правилата на Байдън за развитието ...

Президентът Доналд Тръмп отмени заповедта на бившия президент Джо Б...
22 януари 2025

Продуктите за сграден контрол на ABB са засегна...

Изследовател твърди, че е открил над 1000 уязвимости в продукти, пр...
22 януари 2025

Над 380 000 долара са изплатени през първия ден...

Инициативата Zero Day Initiative (ZDI) на Trend Micro обяви резулта...
22 януари 2025

Бомбени заплахи в училища от цяла България

Десетки училища в цялата страна получихабомбени заплахи.. По първон...
22 януари 2025

Хиперволуметричните DDoS атаки зачестяват

Най-голямата до момента разпределена атака за отказ на услуга (DDoS...
22 януари 2025

Тръмп уволнява Съвета за киберсигурност

В писмо, изпратено днес, изпълняващият длъжността секретар на Минис...
Бъдете социални
Още по темата
17/01/2025

DORA: Провеждане на тестове...

Международният валутен фонд изчислява, че през...
15/01/2025

КФН c важна информация по п...

Припомняме ви, че Комисията за финансов...
15/01/2025

EK разкри план за действие ...

Днес Комисията представи план за действие...
Последно добавени
23/01/2025

Кибератаките влизат в топ 1...

Според Барометъра на риска на Алианц...
23/01/2025

Тръмп помилва създателя на ...

Едва на втория ден от встъпването...
23/01/2025

Тръмп отменя правилата на Б...

Президентът Доналд Тръмп отмени заповедта на...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!