🗞 Новият брой на Капитал е онлайн >>
Право

Какво предвижда европейската Директива за мрежови и информационни системи (NIS 2)

Обхванатите компании и организации трябва да предприемат адекватни мерки, за да гарантират, че могат да управляват постоянно високо ниво на киберсигурност и оперативна устойчивост

Какво предвижда европейската Директива за мрежови и информационни системи (NIS 2)
Какво предвижда европейската Директива за мрежови и информационни системи (NIS 2)
Бюлетин: Капитал Право Капитал Право

Научавайте най-важното от правния свят и съдебната система всяка седмица на мейла си

Автори:

Петко Петков - съдружник, "Управление на риска" - Югоизточна Европа, "Дигитална идентичност" - Централна и Източна Европа, PwC

Кристиан Викторов - старши мениджър, "Киберсигурност и дигитална идентичност", PwC Bulgaria

С променящите се обстоятелства в заобикалящия ни свят все повече се разчита на дигиталните технологии вследствие и на тяхното развитие, което от своя страна води до разширяването на киберзаплахите и изисква адаптирани мерки. Новата стратегия за киберсигурност на ЕС ще укрепи колективната устойчивост на Европа срещу киберзаплахи и ще помогне да се гарантира, че всички граждани и предприятия могат да се възползват напълно от надеждни услуги и цифрови инструменти, независимо дали става въпрос за свързаните устройства, електрическата мрежа, банките, самолетите, публичните администрации и болниците. В продължение на стратегията за киберсигурност и необходимостта от актуализиране на мерките Европейската комисия въведе обновената Директива за мрежови и информационни системи (NIS 2), която влезе в сила през януари 2023.

Какво е NIS (Network and Information Systems) или МИС (Мрежови и информационни системи)

Мрежовите и информационните системи се превърнаха в централен елемент от всекидневния живот на фона на бързата цифрова трансформация, за която допринесе до голяма степен COVID-19 пандемията.

Например, ако токът в една организация спре, тя не може да изпълнява основната си функция. Затова е важно да има резервен вариант, да се докладва защо се е получило това и как може да се избегне тази ситуация в бъдеще. Необходимостта от въвеждане на подходящи мерки за киберсигурност от големи компании и организации е в основата на подобрената Директива за NIS 2. Тя цели да засили дигиталната устойчивост на организациите, за които е предназначена, като гарантира, че те вземат нужните превантивни мерки за управление на риска и минимализиране на последствията от кибератаки.

Основните разлики между предходната и новата Директива за NIS се състоят в:

  • отстраняване на разграничението "Оператори на основни услуги (OES)" и "Доставчици на цифрови услуги (DSP)", залагайки на обектите като "Съществени" или "Важни"
  • Разширение на обхвата на директивата с цел да се включат нови сектори в зависимост от степента им на критичност по отношение на тяхната индустрия или на вида услуга, която предоставят
  • основаване на Европейска мрежа за връзка при киберкризи (EU-CyCLONe), за да се подпомогне управлението на киберсигурността при широкомащабни инциденти и кризи
  • осигуряване на непрекъснатост на бизнеса при засягането му от киберинциденти и бързото докладване след анализа им.

Обхват и ключови срокове на NIS 2

Обхватът на NIS 2 е разширен, тъй като Европейската комисия се стреми да включи всички организации, които изпълняват важни функции в обществото. Акцентът на директивата е към това как инцидентът би могъл да навреди на обществото или на други организации. В списъка на сектори с висока степен на критичност са посочени следните:

  • енергетика (електроенергия, районна регулация на температурата, нефт, природен газ и водород)
  • транспорт (въздушен, железопътен, воден и автомобилен)
  • банков сектор
  • инфраструктури на финансовия пазар
  • здравеопазване
  • питейна вода
  • отпадъчни води
  • цифрова инфраструктура
  • управление на услуги в областта на ИКТ (информационни и комуникационни технологии)
  • публична администрация
  • космическо пространство.

Други критични сектори са:

  • пощенски и куриерски услуги
  • управление на отпадъците
  • производство, изготвяне и дистрибуция на химикали
  • производство, преработка и разпространение на храни
  • производство на медицински изделия, компютри, електрически съоръжения, некласифицирани другаде машини, моторни превозни средства /всякакъв вид ремаркета, транспортно оборудване
  • доставчици на цифрови услуги
  • научни изследвания.

Директивата NIS2 е публикувана в официалния вестник на ЕС на 28.12.2022 и влиза в сила през януари 2023, като ключовите последващи срокове за въвеждането й в действие са следните:

Q3 - Q4 2024 - В този срок държавите членки трябва да приемат и публикуват нужните разпоредби, за да се съобразят с Директивата за NIS 2; EU-CyCLONe представя доклад за оценка на своята работа на Европейския парламент и на съвета, както и на всеки 18 месеца след това; комисията приема актове за изпълнение за определяне на техническите и методологичните изисквания за мерките по отношение на доставчиците на DNS услуги, регистрите на имена на домейни от първо ниво, доставчиците на компютърни услуги "в облак", доставчиците на услуги на центрове за данни, доставчиците на мрежи за доставка на съдържание, доставчиците на управлявани услуги за сигурност, доставчиците на онлайн места за търговия, на онлайн търсачките и на платформите на услуги за социални мрежи и доставчиците на удостоверителни услуги.

От 18.10.2024 се отменя предишната Директива NIS и започва прилагане на мерките съгласно NIS 2 (МИС 2).

Q1 - Q2 2025 - Групата за сътрудничество трябва да установи методологията и организационните аспекти на партньорските проверки с оглед извличане на поуки от споделения опит, укрепване на взаимното доверие, постигане на високо общо ниво на киберсигурност, както и подобряване на способностите и политиките за киберсигурност на държавите членки, необходими за прилагането на настоящата директива. В този срок държавите членки трябва да изготвят списък на основни и важни субекти, както и организации, предоставящи услуги за регистрация на имена на домейни и техния брой, като актуализират този списък редовно и най-малко на всеки две години след това.

Q4 2027 - Комисията ще прегледа функционирането на настоящата директива и докладва резултатите на Европейския парламент и на съвета. Такъв преглед трябва да се извършва на всеки 36 месеца.

Кои са ключовите изисквания на NIS 2

NIS 2 цели по-нататъшно подобряване на устойчивостта и капацитета за реагиране при инциденти както на публичния, така и на частния сектор и се фокусира както върху киберпрестъпността, така и върху нейното европейско и национално управление. Това включва следните четири ключови стълба:

1. Спазване на директивата в зависимост от значимостта

Организациите трябва по презумпция да самооценят своя дял в икономиката и обществото, по-точно да преценят дали са "важни" или "съществени" субекти в сектора. Пример: енергетиката, банковият, транспортният сектор и други са "съществена" част от обществото, докато пощенският, химическият сектор, изследователски организации и други са "важна" част от обществото.

2. Разширяване на обхвата на секторите

NIS 2 ще наложи защитата на допълнителни сектори като производство на храни, управление на отпадъците и цялата верига на доставки. Пример: обхватът на NIS е бил ограничен до компании, които произвеждат, доставят или балансират енергия в сектор "Енергетика". При NIS 2 се очаква веригата за доставки, например производители на вятърни турбини и оператори на станции за зареждане на електрически превозни средства, също да бъдат обхванати от изискванията.

3. Основаване на Европейска мрежа за връзка при киберинциденти и кризи (EU-CyCLONe)

За да се подсигури спазването на директивата във всички засегнати сектори, официално ще бъде основана Европейската мрежа за връзка при киберинциденти и кризи EU-CyCLONe със следните задачи:

  • подпомагане на координираното управление на широкомащабни инциденти и кризи в киберсигурността на институциите, органите, службите и агенциите на съюза
  • повишаване нивото на готовност за управление на мащабни инциденти и кризи в киберсигурността
  • разработване на споделен процес за справяне с широкомащабни инциденти и кризи в киберсигурността
  • оценка на последствията и въздействието им в киберсигурността и предложение на възможни мерки за минимализирането им
  • координация на управлението, свързано с широкомащабни инциденти и кризи в киберсигурността и подпомагане за вземане на решения на политическо ниво във връзка с такива инциденти и кризи
  • обсъждане по желание на държава членка за изграждане на планове за реакция при кризи.

4. Административни глоби и други санкции

Административните глоби са значително увеличени и ще се налагат от Директивата NIS 2 въз основа на това дали организацията е "съществен" или "важен" субект. Те са определят на минимум 10 милиона евро, или 2% от годишния оборот, което от двете е по-високо за съществените субекти. За важни субекти глобите се основават на минимум 7 милиона евро, или 1.4% от годишния оборот. Освен това има лична и потенциална наказателна отговорност за лицата, които участват в управителните съвети на организациите, ако не прилагат изискванията съгласно директивата. Съществените субекти могат да очакват текущ надзор, включително одити, изисквания за докладване и партньорски проверки. Също така при неефективни мерки компетентните органи ще разполагат с правомощия да спрат временно или да изискат от сертифициращ орган (например съдилище) да спре за определено време предоставяните услуги, извършвани от съществения субект. Ключовите субекти могат да очакват надзор, задължителни одити и докладване при установени несъответствия.

Ключови следващи стъпки за засегнатите организации за привеждане в съответствие с NIS 2

Директивата NIS 2 е не само подобрение на досегашната си версия, но въвежда и нови мерки, които да помогнат на организациите в битката с кибератаките и възстановяването след тях. Също така не трябва да забравяме, че тя функционира ръка за ръка и с други въведени регулации като GDPR, ISO27001, PCI-DSS, NIST CSF и DORA. Следователно е от изключително значение подготовката на организациите за предстоящите промени след задълбочено разбиране на съответните изисквания на NIS 2. За целта е необходимо да се определи до каква степен организацията е засегната от регулацията и като какъв субект се определя - "важен" или "съществен". След това трябва да се извърши детайлен анализ на база на съответните изисквания, за да се дефинира тяхната приложимост в контекста на организацията и да се установи до каква степен тя вече покрива дефинираните от NIS 2 изисквания, както и в кои области се налага да предприеме мерки, за да бъде в съответствие.

Заключение

В момента се подготвят промени в Закона за киберсигурност на България, които се очаква да бъдат внесени в Народното събрание през март 2024 и финализирани до няколко месеца. Промените целят да синхронизират националното ни законодателство с Директивата NIS 2, която ще се прилага ефективно считано от октомври 2024. През този период обхванатите компании и организации трябва да предприемат адекватни мерки в области като управление на киберриска, тестове за проникване, реагиране при инциденти и ограничаване на тяхното въздействие, за да гарантират, че могат да управляват постоянно високо ниво на киберсигурност и оперативна устойчивост.

За повече детайли за NIS 2 и ключовите изисквания:

Петко Петков - съдружник, "Управление на риска" - Югоизточна Европа, "Дигитална идентичност" - Централна и Източна Европа, PwC Bulgaria
Петко Петков - съдружник, "Управление на риска" - Югоизточна Европа, "Дигитална идентичност" - Централна и Източна Европа, PwC

Кристиан Викторов - старши мениджър, "Киберсигурност и дигитална идентичност", PwC Bulgaria
Кристиан Викторов - старши мениджър, "Киберсигурност и дигитална идентичност", PwC Bulgaria

Източник: https://eur-lex.europa.eu/legal-content/BG/TXT/PDF/?uri=CELEX:32022L2555

Още от Капитал