Влизат в сила новите директиви за киберсигурност (NIS2 и CER)

Picture of e-security.bg
e-security.bg
Aрхив | Киберсигурност

На 16 януари 2023 г. влязоха в сила Директивата относно мерките за постигане на високо общо ниво на киберсигурност в целия Съюз („Директивата NIS2“) и Директивата относно устойчивостта на критичните субекти („Директивата CER“). С Директивата NIS2 се отменя действащата Директива NIS и се създава по-обширен и хармонизиран набор от правила за киберсигурност за организациите, които осъществяват дейността си в рамките на Европейския съюз. С Директивата CER се отменя Директивата за европейската критична инфраструктура и се въвеждат нови, по-строги правила за кибернетичната и физическата устойчивост на критичните организации и мрежи.

Основните моменти в  Директивата NIS2

По-широк обхват на приложение

Броят на организациите, които подлежат на задължения съгласно Директивата NIS2, ще нарасне значително в сравнение с първоначалната рамка. Това се дължи до голяма степен на факта, че съгласно първоначалната Директива за NIS държавите членки трябваше да определят организациите, считани за съществени и следователно подлежащи на задълженията по първоначалната Директива за NIS, което вече не е така. Сега в новата Директива NIS2 се определя за кои организации се отнасят задълженията, което се равнява на по-широк обхват от субекти.

Например понятието „организации от съществено значение“ замества „оператори на съществени услуги“; вероятно повечето организации, класифицирани като „оператори на съществени услуги“ съгласно първоначалната Директива NIS, ще бъдат класифицирани като „организации от съществено значение“ съгласно Директивата NIS2. Въпреки това понятието „съществена организация“ е много по-широко и ще обхване и много организации, които досега не са били обект на режима на NIS – например фармацевтични компании и оператори на производство, съхранение и пренос на водород.

Освен това понятието „доставчик на цифрови услуги“, което беше включено в първоначалната директива за NIS, беше премахнато от директивата за NIS2 в полза на понятието „важни субекти“, което вероятно ще включва организациите, считани за „доставчици на цифрови услуги“ съгласно първоначалната директива за NIS, и допълнителни категории. Важните организации ще подлежат на по-строги задължения съгласно Директивата NIS2, отколкото доставчиците на цифрови услуги съгласно първоначалната Директива NIS.

Повече задължения

Съгласно Директивата  NIS2 основните и важните субекти трябва да прилагат технически, оперативни и организационни мерки за управление на рисковете, свързани със сигурността на техните мрежи и информационни системи, и за предотвратяване или свеждане до минимум на въздействието на инцидентите. Тези мерки трябва да обхващат, наред с другото, области като справяне с инциденти, непрекъсваемост на дейността, използване на криптиране и сигурно удостоверяване и обучение.

Докладване на инциденти

Съществените и важните субекти трябва да уведомяват без неоправдано забавяне националните екипи за реагиране при инциденти, свързани с компютърната сигурност (CSIRT), или, когато е приложимо, компетентния орган, за всеки инцидент, който има значително въздействие върху предоставянето на техните услуги. Стъпките за изпълнение на тези задължения включват:

  • „Ранно предупреждение“ в рамките на 24 часа след узнаването на инцидента, в което се посочва дали има съмнение, че инцидентът е причинен от незаконни или злонамерени действия или може да има трансгранично въздействие;
  • Уведомление за инцидент в рамките на 72 часа след узнаване на инцидента, което актуализира горепосочената информация и предоставя първоначална оценка на инцидента, включително по отношение на неговата сериозност и въздействие;
  • При поискване от CSIRT или от компетентния орган – междинен доклад; и
  • окончателен доклад не по-късно от един месец след подаване на уведомлението за инцидента. Окончателният доклад трябва да включва подробно описание на инцидента, включително вероятната причина за инцидента, приложените мерки за смекчаване на последиците и всяко трансгранично въздействие на инцидента.

 

В определени ситуации може да се изисква и уведомяване на получателите на услуги.

Изпълнение

Компетентните органи ще могат да разчитат на солиден набор от правомощия за правоприлагане и разследване, като например възможността да извършват обиски, да извършват одити на сигурността и да изискват данни, информация и документи (наред с други).

Важно е, че държавите членки трябва да предоставят на органите възможността да налагат значителни глоби:

  • За основните субекти – най-малко до 10 милиона евро или 2 % от световния годишен оборот.
  • За важни субекти – най-малко до 7 млн. евро или 1,4 % от световния годишен оборот.

Управителните органи на основните и важните субекти също могат да бъдат подведени под отговорност за неспазване на разпоредбите на Директивата NIS2.

 

Основните моменти от Директивата за CER

Новите правила ще засилят устойчивостта на критичната инфраструктура на редица заплахи, включително природни бедствия, терористични атаки, вътрешни заплахи или саботаж, като всички те, разбира се, могат да имат елемент на киберсигурност или друг свързан с тях елемент. Директивата за CER се прилага за 11 сектора, които се считат за критични: енергетика, транспорт, банково дело, инфраструктури на финансовите пазари, здравеопазване, питейна вода, отпадъчни води, цифрова инфраструктура, публична администрация, космическо пространство и храни.

Държавите членки ще трябва да разполагат с национална стратегия за повишаване на устойчивостта на критичните субекти, да извършват оценка на риска поне веднъж на четири години и да определят критичните субекти, които предоставят основни услуги. Критичните субекти ще трябва да идентифицират съответните рискове, които могат значително да нарушат предоставянето на основни услуги, да предприемат подходящи мерки, за да гарантират своята устойчивост, и да уведомяват компетентните органи за смущаващи инциденти.

Следващи стъпки

За разлика от регламентите на ЕС, директивите на ЕС нямат пряко действие в държавите членки на ЕС, което означава, че държавите членки трябва да транспонират изискванията на двете директиви в националното законодателство, преди те да станат приложими за съответните организации. Държавите членки ще разполагат с време до 17 октомври 2024 г., за да направят това и да публикуват мерките, необходими за постигане на съответствие с двата правни инструмента. Държавите членки ще прилагат тези мерки от 18 октомври 2024 г.

Запознайте се с  Директивата NIS2 и Директивата CER.

#ЕС, # обучение на потребителите
e-security.bg

Подобни

CISA стартира виртуални обществени обсъждания за CIRCIA
17.02.2026
CISA
Инцидентният отговор в ICS/OT трябва да се промени
17.02.2026
power-station-374097_640
Oбщностните събития пренареждат индустриалната киберсигурност през 2026 г.
17.02.2026
factory-1352544_640
Най-добре платените кариери в киберсигурността през 2026 г.
14.02.2026
cybersecurity3
Новата доктрина на Токио за активна киберотбрана
13.02.2026
japan_tokyo
CISA предупреждава енергийния сектор: сменете незабавно фабричните пароли
12.02.2026
power-station-374097_640

Споделете

Facebook
LinkedIn

Бюлетин

С нашия бюлетин ще бъдеш сред първите, които научават за нови заплахи, практични решения и добри практики. Напълно безплатно и с грижа за твоята сигурност.

Абонирай се сега!

Категории

Киберсигурност
Важно да знаете
Зловреден код
Уязвимости
Поверителност
Знаете ли как
Факти и данни
За родители
Aрхив

Следвайте ни

Facebook Linkedin Youtube Rss

Популярни

Изземване на Zamunda, Arena и други торент сайтове
30.01.2026
seizure
Измамническите сайтове в България: как да ги разпознаем, проверим и защитим себе си
6.10.2025
bulgaria3
Социалните мрежи и младите - между канализиране на общественото мнение и манипулация
7.12.2025
spasov
Вишинг измами срещу потребители на Revolut
11.12.2025
revolut

Бъди в крак с киберсигурността

Абонирай се за нашия бюлетин и получавай директно в пощата си най-важните новини, експертни съвети и практически насоки за киберхигиена и защита онлайн. Кратко, полезно и без спам.