Директива (ЕС) 2022/2555 на Европейския парламент и на Съвета относно мерки за високо общо ниво на киберсигурност в Съюза е законодателен акт, който има за цел да постигне високо общо ниво на киберсигурност в целия Европейски съюз.
Директивата, наричана накратко NIS 2, ще замени Директива (ЕС) 2016/1148 относно мерки за високо общо ниво на сигурност на мрежите и информационните системи в Съюза (NISD), считано от 18 октомври 2024 година. 

Какво е новото?

Новата Директива разширява обхвата на приложение чрез добавяне на нови сектори въз основа на тяхната важност за икономиката и обществото и чрез въвеждане на ясни граници за размера на засегнатите субекти (всички средни и големи организации в избрани сектори попадат в обхвата на NIS 2). В същото време Директивата оставя известна гъвкавост на държавите членки да идентифицират по-малки субекти с висок профил на риск за сигурността.
 

Обхват на NIS 2

Директива (ЕС) 2022/2555 определя основната рамка за мерките за управление на риска за киберсигурността и задълженията за докладване на инциденти със сигурността на информацията във всички сектори и дейности, които попаднат в нейния обхват.
Изискванията на Директивата се отнасят за всяко средно и голямо предприятие (организации с численост на персонала над 50 служители или с годишен оборот над 10 млн. евро), от икономическите сектори, посочени в Приложение I и Приложение II. Всяка компания, отговаряща на тези критерии, трябва да съобрази дейността си с набор от технически, оперативни и организационни мерки за защита на своите мрежови и информационни системи.
В обхвата на NIS 2 попадат и субекти, независимо от техния размер, като: телекомуникационни оператори, доставчици на удостоверителни услуги, доставчици на DNS (система за имена на домейни услуги), органи на публичната администрация и други. Всички тези субекти трябва да приведат дейността си в съответствие с изискванията на Директива (ЕС) 2022/2555.

Съществени и важни субекти по сектори

 
Ново категоризиране на секторите
Организациите се класифицират въз основа на тяхната значимост и се разделят на съществени и важни субекти, които подлежат на различни надзорни режими. Премахва се разграничението между операторите на основни услуги и доставчиците на цифрови услуги. 
 
Въвеждане на сигурност на веригите за доставки
NIS 2 засяга и сигурността на веригите за доставки и взаимоотношенията с доставчиците, като изисква от отделните организации да управляват рисковете за киберсигурността във веригите за доставки и взаимоотношенията с доставчиците. Целта е киберсигурността на веригата на доставки за ключови информационни и комуникационни технологии се укрепва на европейско равнище. Държавите членки, в сътрудничество с Комисията и ENISA, могат да извършват координирани оценки на риска на критичните вериги за доставки.
 
Драстично увеличение на глобите
Директива (ЕС) 2022/2555 въвежда много по-високи глоби за субектите, по-строги надзорни мерки от страна на националните органи, по-стриктни изисквания за прилагане и цели хармонизиране на наказателните механизми в отделните държави членки.
Като средство за гарантиране на ефективното прилагане на изискванията, NIS2 предвижда налагането на административни глоби от компетентните органи. При определянето на глобите се вземат предвид обстоятелствата на конкретния случай, включително степента на вина на нарушителя, мащабът на нарушението и потенциалните негативни последици за сигурността на информационните системи и услуги.

Компетентните органи могат да налагат глоби в размери, както следва:

• За съществени субекти, най-малко до 10 млн. евро или 2% от световния годишен оборот;
• За важни субекти, най-малко до 7 млн. евро или 1,4% от световния годишен оборот.

Мерки, които организациите трябва да внедрят във връзка с управлението на киберсигурността

NIS 2 задължава съществените и важните субекти да прилагат базови мерки за управление на риска за киберсигурността, за да се справят с конкретни форми на вероятни киберзаплахи. Мерките се основават на „подход за всички опасности“, който има за цел да защити мрежовите и информационните системи и физическата среда на тези системи от инциденти и включва поне следното: 

• политики за анализ на риска и сигурност на информационните системи; 
• процедури за действия при инцидент;
• процедури и планове за осигуряване на непрекъснатост на бизнес операциите, например управление на съхраняването на резервни копия на данните и възстановяване след бедствия, и управление на кризи;
• сигурност във връзка с веригите за доставки и отношенията между дружеството и прекия доставчик;
• сигурност при придобиването на мрежови и информационни системи, разработване и поддръжка, включително предприемане на действия при уязвимости и оповестяването им;
• политики и процедури за оценяване на ефективността на мерките за управление на риска в областта на киберсигурността;
• обучение по киберсигурност и практика за основна компютърна хигиена;
• политики и процедури относно използването на криптография и, когато е целесъобразно, криптиране;
• сигурност на човешките ресурси, политики за контрол на достъпа и управление на активи;
• план за справяне с инциденти, свързани със сигурността;
• използване на многофакторно удостоверяване (MFA), решения за непрекъснато удостоверяване и криптирана вътрешна комуникация.

 
NIS 2 насърчава въвеждането на следните технологии за:

• принципи на нулево доверие (Zero trust);
• конфигуриране на устройства;
• сегментиране на мрежи;
• управление на самоличността и достъпа;
• криптиране от край до край;
• сигурни стандарти за маршрутизация;
• проектиране по подразбиране (Security by Design);
• използване на AI за откриването и предотвратяването на кибератаки;
• приложения за киберсигурност с отворен код (OpenSource) – могат да допринасят за по-висока степен на откритост и да имат положително въздействие върху ефективността на индустриалните иновации.

Задължения за докладване
Директива (ЕС) 2022/2555 въвежда нова процедура по докладване на значителни инциденти на националния Екип за реагиране при инциденти с компютърната сигурност (ЕРИКС). Съгласно NIS2 даден инцидент се класифицира като "значителен", ако е причинил или може да доведе до сериозно смущение в услугите или финансови загуби за субекта или да засегне други физически или юридически лица, причинявайки значителни материални или нематериални щети.
Субектите трябва да уведомят своя ЕРИКС или съответния орган за всеки инцидент, както следва:

• първоначално уведомление в рамките на 24 часа;
• повторно уведомление в рамките на 72 часа;
• междинен доклад в някои случаи (при поискване);
• окончателен доклад с допълнителна информация за инцидента в рамките на един месец;
• в някои случаи може да се изисква и уведомяване на потенциално засегнатите потребители.

Предвид санкциите, компаниите следва да са наясно с изискванията, тъй като и наглед малки инциденти биха могли да се окажат значителни, които подлежат на докладване.

С цел повишаване на правомощията на компетентните органи, осигуряващи ефективно правоприлагане, в Директива (ЕС) 2022/2555 е предвиден минимален списък от надзорни мерки и средства, чрез които компетентните органи могат да упражняват надзор върху съществените и важните субекти. За да се осигури справедлив баланс на задълженията на субектите е направено разграничение между надзорните режими за съществени и важни субекти.
 

ISO/IEC 27001 и NIS2

Внедряването и сертифицирането по ISO/IEC 27001 "Сигурност на информацията, киберсигурност и защита на поверителността. Cистеми за управление на сигурността на информацията – Изисквания" може значително да улесни процеса на постигане на съответствие с NIS2. Стандартът осигурява рамка за внедряване на система за управление на сигурността на информацията (СУСИ), което е основно изискване за съответствие с NIS 2. В NIS 2 се съдържат редица оперативни и организационни мерки, които субектите трябва да прилагат и които отговарят на изискванията на ISO/IEC 27001.
Много от изискванията могат да бъдат покрити с внедряването на система за управление на информационната сигурност съгласно ISO/IEC 27001.