Новата директива за киберсигурност предвижда санкции, сходни с тези по GDPR

2. Други критични сектори като:

• пощенски и куриерски услуги;
• управление на отпадъците;
• химикали и храни;
• производство на медицински изделия, компютри и електроника, машини и оборудване, моторни превозни средства, ремаркета и полуремаркета и друго транспортно оборудване;
• доставчици на цифрови услуги (онлайн места за търговия, онлайн търсачки и платформи на услуги за социални мрежи).

В обхвата на NIS 2 ще попада всяко средно и голямо предприятие (с други думи - компаниите с повече от 50 служители или с годишен оборот над 10 млн. евро) от изброените сектори. Това на практика означава, че всяка компания от тези сектори с над 50 служители ще трябва да съобрази дейността си с набор от технически, оперативни и организационни мерки, които не са свойствени за ежедневната ѝ търговска дейност. Например доставчиците на куриерски услуги, банки, здравни заведения, компании от транспортния сектор (въздушни превозвачи), производителите на храни (зеленчуци, консервирана храна, сладкарски изделия, детски и бебешки храни и т.н.), доставчици и дистрибутори на водa, доставчици на софтуерни услуги и редица други ще попаднат в обхвата на NIS 2. Всички тези компании ще трябва да приведат дейността си в съответствие с изискванията на новата нормативна уредба.

Някои компании освен това ще попаднат в обхвата на новите правила и независимо от размера си, например: телекомуникационни оператори, доставчици на удостоверителни услуги, доставчици на DNS (система за имена на домейни услуги) и други. Държавите членки ще имат право да определят и други субекти (ако дейността им е особено важна), дори да не попадат в тези категории, а ще могат и автоматично да определят операторите на особено значими услуги (както вече са определени в България по NIS 1) като съществени субекти.

Въз основа на сектора и значението на субектите (компаниите) те ще бъдат класифицирани като:

а) съществени субекти (т.е. субектите от сектора с висока степен на критичност, телекомите, доставчиците на облачни услуги и др.) или

б) важни субекти - останалите субекти, попадащи в обхвата на NIS 2, но некласифицирани като съществени. Тази категория включва субектите от критичния сектор (с възможни изключения) - пощенски и куриерски услуги, химикали и храни, производители, доставчици на цифрови услуги и др.

Основното разграничение между двете категории ще бъде по отношение на надзорните и правоприлагащите мерки, както и на санкциите, които ще се прилагат за тях.

Защо е важно и трябва ли да ни вълнува изобщо?

NIS 2 предвижда редица нови задължения, огромни санкции и минимален набор от мерки, които компаниите ще трябва да осигурят, например:

• политики за контрол на достъпа;
• процедури за действия при инцидент;
• сигурност на веригата за доставка, включително свързани със сигурността аспекти относно взаимовръзките между всеки субект и неговите преки снабдители или доставчици на услуги. От субектите може да се изисква да вземат предвид уязвимостите, специфични за всеки пряк доставчик и лице, предоставящо услуги, както и цялостното качество на продуктите и практиките в областта на киберсигурността на своите доставчици, включително техните процедури за сигурно разработване;
• използването на многофакторни решения за удостоверяване на автентичността, защитени гласови, видео и текстови съобщения и защитени системи за спешна комуникация в рамките на субекта, когато е целесъобразно;
• киберхигиенни практики и обучение в областта на киберсигурността (напр. принципите на нулево доверие/zero-trust, софтуерни актуализации, конфигурация на устройства).

Докладване на значителни инциденти

Компаниите ще трябва да следват и нова многоетапна процедура по докладване на значителни инциденти на националния екип за реагиране при инциденти с компютърната сигурност (ЕРИКС). Тази процедура ще се състои от:

• първоначално уведомление в рамките на 24 часа;
• повторно уведомление в рамките на 72 часа;
• междинен доклад в някои случаи (при поискване);
• окончателен доклад с допълнителна информация за инцидента в рамките на един месец;
• в някои случаи може да се изисква и уведомяване на потенциално засегнатите потребители.

Важно за отбелязване тук е, че даден инцидент на практика ще може да бъде третиран като значителен дори когато е налице само вероятност да причини смущение в услугите на субекта или да засегне други лица, причинявайки значителни материални или нематериални вреди. Тоест докладване ще е нужно понякога дори да не са настъпили вреди.

Предвид санкциите, които са в размери сходни на тези по GDPR (виж по-долу), компаниите следва да са наясно с това, тъй като и наглед малки инциденти биха могли да се окажат значителни, които подлежат на докладване.

Други новости

Директивата въвежда още редица нововъведения, които споменаваме само накратко:

• До 17 април 2025 г. държавите членки трябва да изготвят списък на съществените и важните субекти, както и на субектите, предоставящи услуги по регистрация на имена на домейни.
• Агенцията на ЕС за киберсигурност (ENISA) трябва да създаде и поддържа единен регистър на доставчиците на DNS услуги, регистрите на имена на домейни от първо ниво, субектите, предоставящи услуги за регистриране на имена на домейни, доставчиците на:

• компютърни услуги в облак;
• центрове за данни;
• доставчиците на мрежи за предоставяне на съдържание;
• управлявани услуги;
• управлявани услуги за сигурност;
• както и доставчиците на онлайн места за търговия, на онлайн търсачки и на платформи на услуги за социални мрежи.

За тази цел до 17 януари 2025 г. тези субекти ще бъдат задължени да предоставят определен набор от информация на компетентния орган (напр. IP адреси, къде се предоставят регулираните услуги, данни за контакт и т.н.).

• Регламентират се нови възможности за споразумения за обмен на информация. Те ще позволят на субектите да обменят на доброволни начала помежду си относима информация за киберсигурността (като е интересно да се види как това ще се случва на практика, за да се избегнат рискове от конкурентно-правна гледна точка).
• Държавите членки ще изискват регистрите на имена на домейни от първо ниво и субектите, предоставящи услуги за регистрация на такива имена на домейни, надлежно да събират и поддържат точни и пълни данни за регистрацията на имената на домейни в специално предназначена база данни.
• ENISA ще получи нови правомощия и отговорности.
• Държавите членки ще трябва да приемат национален план за управление на мащабни киберинциденти и кризи и да определят т.нар. орган за управление на киберкризи.
• Механизъм за партньорски проверки за подобряване на способностите и политиките на държавите членки в областта на киберсигурността.
• Ще бъде създадена нова Европейска мрежа за връзка на организациите при киберкризи (EU - CyCLONe), която ще действа като посредник между техническото и политическото равнище по време на мащабни киберинциденти и кризи в целия ЕС.

Инструментариум на ЕС за сигурност на веригата за доставки. Схеми за сертифициране на киберсигурността

NIS 2 предвижда извършването и на координирани оценки на риска за сигурността на критични ИКТ услуги, продукти и системи по веригата на доставки на равнище ЕС. При тези оценки ще трябва да се вземат предвид редица фактори, вкл. нетехнически рискови фактори, като в преамбюла на акта е обяснено, че последното включва фактори като "неправомерно влияние на трета държава върху снабдителите и доставчиците на услуги".

Ето защо може да се очаква в близко бъдеще нов инструментариум на ниво ЕС за сигурността на веригата на доставки. Държавите членки ще трябва също и да насърчават използването на европейски и международни стандарти, като ще могат дори да изискват използването на ИКТ продукти, услуги и процеси, сертифицирани по европейски схеми за сертифициране на киберсигурността.

Надзор

Съществените субекти (напр. енергийни предприятия, телекоми и доставчици на облачни услуги) вече ще подлежат на всеобхватен предварителен и последващ контрол от компетентните органи, защото осъществяват дейности, които имат по-голяма степен на важност и критичност за обществото. Важни субекти (напр. пощенски и куриерски услуги, производители на химикали и храни) ще подлежат единствено на последващ надзор.

В България този орган се очаква да бъде Министерството на електронното управление, както е и сега по NIS 1, и вече ще има далеч по-сериозни правомощия за контрол по спазването на изискванията. Например ще може да извършва проверки на място, дистанционни проверки, да изисква достъп до информация и документи, да извършва целеви одити на сигурността и др.

Юрисдикция

Основното правило е, че съществените и важни предприятия ще попадат под юрисдикцията на държавите членки, в които са установени. Ако са установени в повече от една държава членка, те ще попадат под юрисдикцията на всяка от тях.

Въпреки това ще има изключения за някои субекти, за които NIS 2 (поне на първо четене), изглежда, установява режим за обслужване на едно гише, например:

• телекомите попадат под юрисдикцията на държавата членка, в която предоставят услугите си и
• трансграничните доставчици (напр. доставчиците на компютърни услуги "в облак", доставчиците на услуги на центрове за данни, онлайн места за търговия, онлайн търсачки) попадат под юрисдикцията на държавата членка, в която се намира основното им място на установяване в ЕС.

Трансграничните доставчици, които предлагат услуги в ЕС, но не са установени там, пък ще трябва да определят представител в ЕС, който да е установен в една от държавите, в които се предлагат услугите (сходно на GDPR). При липса на представител в ЕС всяка държава членка, в която субектът предоставя услуги, може да предприеме правни действия срещу субекта.

Отговорност на управителните органи в лично качество

Управителните органи (физическите лица) на съществени и важни субекти ще носят и лична отговорност за неспазване на NIS 2. Тази новост е изрично предвидена като инструмент, който да гарантира, че ръководните/управителни органи в компаниите ще предприемат необходимите стъпки и действия да прилагат надлежно всички нови мерки. За тази цел от управителните органи ще се изисква да преминават специални обучения, а компаниите ще бъдат насърчавани да предлагат редовно подобни обучения на своите служители.

Колко ще ни заболи от нарушенията?

В NIS 2 са предвидени санкции, подобни на тези по GDPR:

• Санкциите за съществените субекти ще достигат 10 млн. евро, или 2% от техния световен годишен оборот - която от двете суми е по-голяма;
• Санкциите за важните субекти ще достигат 7 млн. евро, или 1.4% от световния годишен оборот - отново която от двете суми е по-голяма.

Същевременно държавите членки ще могат по тяхна преценка да въведат и по-висок максимален размер на санкциите.

Наред с това органите ще имат и други съществени правомощия:

• да спрат/преустановят действието временно или да изискат временно преустановяване на действието на удостоверение или разрешение на организациите.
• да забранят временно на ръководителите/управителите да изпълняват задълженията си.
• да назначат временно длъжностно лице по надзор, който да следи за спазването на изискванията от страна на задължените лица.

Кога?

NIS 2 трябва да се въведе в България не по-късно от 17 октомври 2024 г.

Какви промени да очакваме в местното законодателство?

NIS 2 ще наложи промени в Закона за киберсигурност и съответните подзаконови нормативни актове, като ще е наложително и издаването на нови такива. Освен това се очаква преразглеждане на Закона за електронните съобщения и на Правилата за минималните изисквания за сигурност на обществените електронни съобщителни мрежи и услуги. Други секторни закони също ще трябва да бъдат изменени.

Основни изводи

Задължените лица трябва да започнат вътрешни процеси за оценка на своите продукти, услуги, верига за доставки и т.н. и да установят дали и кои от техните услуги попадат в обхвата на новите правила, включително:

• да определят дали отговарят на критериите за класифициране като съществен или важен субект;
• да установят пропуски и да извършат оценки на риска;
• да идентифицират юрисдикцията, в която попадат;
• да започнат да преглеждат и/или изготвят вътрешна документация, договори и процеси, вкл. за действията при докладване на инциденти;
• да идентифицират/организират обучения и одити, включително на управителните органи;
• да уведомят компетентния орган в срок до 17 януари 2025 г.