На 16 януари 2023 г. влязоха в сила Директивата относно мерките за постигане на високо общо ниво на киберсигурност в целия Съюз (“Директивата NIS2”) и Директивата относно устойчивостта на критичните субекти (“Директивата CER”). С Директивата NIS2 се отменя действащата Директива NIS и се създава по-обширен и хармонизиран набор от правила за киберсигурност за организациите, които осъществяват дейността си в рамките на Европейския съюз. С Директивата CER се отменя Директивата за европейската критична инфраструктура и се въвеждат нови, по-строги правила за кибернетичната и физическата устойчивост на критичните организации и мрежи.
Основните моменти в Директивата NIS2
По-широк обхват на приложение
Броят на организациите, които подлежат на задължения съгласно Директивата NIS2, ще нарасне значително в сравнение с първоначалната рамка. Това се дължи до голяма степен на факта, че съгласно първоначалната Директива за NIS държавите членки трябваше да определят организациите, считани за съществени и следователно подлежащи на задълженията по първоначалната Директива за NIS, което вече не е така. Сега в новата Директива NIS2 се определя за кои организации се отнасят задълженията, което се равнява на по-широк обхват от субекти.
Например понятието “организации от съществено значение” замества “оператори на съществени услуги”; вероятно повечето организации, класифицирани като “оператори на съществени услуги” съгласно първоначалната Директива NIS, ще бъдат класифицирани като “организации от съществено значение” съгласно Директивата NIS2. Въпреки това понятието “съществена организация” е много по-широко и ще обхване и много организации, които досега не са били обект на режима на NIS – например фармацевтични компании и оператори на производство, съхранение и пренос на водород.
Освен това понятието “доставчик на цифрови услуги”, което беше включено в първоначалната директива за NIS, беше премахнато от директивата за NIS2 в полза на понятието “важни субекти”, което вероятно ще включва организациите, считани за “доставчици на цифрови услуги” съгласно първоначалната директива за NIS, и допълнителни категории. Важните организации ще подлежат на по-строги задължения съгласно Директивата NIS2, отколкото доставчиците на цифрови услуги съгласно първоначалната Директива NIS.
Повече задължения
Съгласно Директивата NIS2 основните и важните субекти трябва да прилагат технически, оперативни и организационни мерки за управление на рисковете, свързани със сигурността на техните мрежи и информационни системи, и за предотвратяване или свеждане до минимум на въздействието на инцидентите. Тези мерки трябва да обхващат, наред с другото, области като справяне с инциденти, непрекъсваемост на дейността, използване на криптиране и сигурно удостоверяване и обучение.
Докладване на инциденти
Съществените и важните субекти трябва да уведомяват без неоправдано забавяне националните екипи за реагиране при инциденти, свързани с компютърната сигурност (CSIRT), или, когато е приложимо, компетентния орган, за всеки инцидент, който има значително въздействие върху предоставянето на техните услуги. Стъпките за изпълнение на тези задължения включват:
- “Ранно предупреждение” в рамките на 24 часа след узнаването на инцидента, в което се посочва дали има съмнение, че инцидентът е причинен от незаконни или злонамерени действия или може да има трансгранично въздействие;
- Уведомление за инцидент в рамките на 72 часа след узнаване на инцидента, което актуализира горепосочената информация и предоставя първоначална оценка на инцидента, включително по отношение на неговата сериозност и въздействие;
- При поискване от CSIRT или от компетентния орган – междинен доклад; и
окончателен доклад не по-късно от един месец след подаване на уведомлението за инцидента. - Окончателният доклад трябва да включва подробно описание на инцидента, включително вероятната причина за инцидента, приложените мерки за смекчаване на последиците и всяко трансгранично въздействие на инцидента.
В определени ситуации може да се изисква и уведомяване на получателите на услуги.
Изпълнение
Компетентните органи ще могат да разчитат на солиден набор от правомощия за правоприлагане и разследване, като например възможността да извършват обиски, да извършват одити на сигурността и да изискват данни, информация и документи (наред с други).
Важно е, че държавите членки трябва да предоставят на органите възможността да налагат значителни глоби:
- За основните субекти – най-малко до 10 милиона евро или 2 % от световния годишен оборот.
- За важни субекти – най-малко до 7 млн. евро или 1,4 % от световния годишен оборот.
Управителните органи на основните и важните субекти също могат да бъдат подведени под отговорност за неспазване на разпоредбите на Директивата NIS2.
Основните моменти от Директивата за CER
Новите правила ще засилят устойчивостта на критичната инфраструктура на редица заплахи, включително природни бедствия, терористични атаки, вътрешни заплахи или саботаж, като всички те, разбира се, могат да имат елемент на киберсигурност или друг свързан с тях елемент. Директивата за CER се прилага за 11 сектора, които се считат за критични: енергетика, транспорт, банково дело, инфраструктури на финансовите пазари, здравеопазване, питейна вода, отпадъчни води, цифрова инфраструктура, публична администрация, космическо пространство и храни.
Държавите членки ще трябва да разполагат с национална стратегия за повишаване на устойчивостта на критичните субекти, да извършват оценка на риска поне веднъж на четири години и да определят критичните субекти, които предоставят основни услуги. Критичните субекти ще трябва да идентифицират съответните рискове, които могат значително да нарушат предоставянето на основни услуги, да предприемат подходящи мерки, за да гарантират своята устойчивост, и да уведомяват компетентните органи за смущаващи инциденти.
Следващи стъпки
За разлика от регламентите на ЕС, директивите на ЕС нямат пряко действие в държавите членки на ЕС, което означава, че държавите членки трябва да транспонират изискванията на двете директиви в националното законодателство, преди те да станат приложими за съответните организации. Държавите членки ще разполагат с време до 17 октомври 2024 г., за да направят това и да публикуват мерките, необходими за постигане на съответствие с двата правни инструмента. Държавите членки ще прилагат тези мерки от 18 октомври 2024 г.
Запознайте се с Директивата NIS2 и Директивата CER.
Източник: e-security.bg