Разликите между директиви NIS и NIS 2
Правилата на Европейския съюз в областта на киберсигурността, въведени през 2016 г., бяха актуализирани с Директива (ЕС) 2022/2555 на Европейския парламент и на Съвета от 14 декември 2022 година относно мерки за високо общо ниво на киберсигурност в Съюза. Директивата заменя Директива (ЕС) 2016/1148, като разширява приложното поле, за да обхване по-голяма част от секторите на икономиката.
Какви са разликите между Директива (ЕС) 2016/1148 (известна като Директивата NIS) и Директива (ЕС) 2022/2555 (наричана Директивата NIS2):
- Директива NIS: Насочена към съществени сектори като енергетика, транспорт, банково дело и здравеопазване. Фокусира се върху операторите на съществени услуги и доставчиците на цифрови услуги.
- Директива NIS 2: Разширява обхвата, за да включи повече сектори и типове субекти, осигурявайки по-широко покритие на цифровите и съществените услуги.
2. Изисквания за сигурност и докладване на инциденти:
- Директива NIS: Установява основни изисквания за сигурност и докладване на инциденти за сектори, считани за съществени.
- Директива NIS 2: Въвежда по-строги изисквания за сигурност и по-интензивен надзор от националните органи над доставчиците на цифрови услуги. Също така налага по-строги задължения за реагиране и докладване на инциденти.
3. Регулаторна и надзорна рамка:
- Директива NIS: Залага основната рамка, за да идентифицират държавите членки операторите на съществени услуги и доставчиците на цифрови услуги и да управляват рисковете и докладват инцидентите.
- Директива NIS 2: Усилва регулаторната рамка, осигурявайки по-координиран подход в целия ЕС. Акцентира върху необходимостта от по-силно стратегическо и оперативно сътрудничество между държавите членки.
4. Национални стратегии и политики:
- Директива NIS: Изисква от държавите членки да разработят национални стратегии за сигурността на мрежите и информационните системи.
- Директива NIS 2: Насърчава по-хармонизирани и всеобхватни национални стратегии, съобразявайки ги по-близо със стратегиите и политиките на ЕС.
5. Премахване на различията и правна сигурност:
- Директива NIS: Целта е да се намалят несъответствията в готовността за киберсигурност между държавите членки, но има ограничения в нейното еднородно прилагане.
- Директива NIS 2: Конкретно цели различията в мерките за киберсигурност между държавите членки, стремейки се към еднородност, правна сигурност и по-висок общо взето ниво на киберсигурност в Съюза.
6. Трансгранично сътрудничество:
- Директива NIS: Въвежда мерки за сътрудничество между държавите членки.
- Директива NIS 2: Фокусира върху по-интензивно ефективно трансгранично сътрудничество и обмен на информация, установявайки по-здрава рамка за съвместно реагиране на киберсигурността.
По същество, Директива NIS 2 може да бъде разгледана като еволюция и укрепване на принципите и рамките, установени от Директива NIS, с цел постигане на по-координиран, всеобхватен и строг режим на киберсигурност в Европейския съюз.
За въвеждането на изискванията на Директива (ЕС) 2022/2555 (NIS 2), държавите членки на ЕС трябва да предприемат редица стъпки:
1. Транспониране на Директивата: Държавите членки трябва да транспонират изискванията на директивата в националното си законодателство. Това означава, че трябва да приемат нови закони или да променят съществуващите такива, за да отговорят на стандартите и изискванията, определени в директивата.
2. Определяне на компетентни органи и контактни точки:
- Всяка държава членка трябва да определи или да установи компетентни органи, които ще бъдат отговорни за прилагането на директивата.
- Също така, трябва да се установят точки за контакт за сигурност на мрежите и информационните системи, които ще улеснят сътрудничеството и обмена на информация между държавите членки.
3. Разработване на национални стратегии:
- Държавите членки трябва да разработят или актуализират свои национални стратегии за сигурност на мрежите и информационните системи, които да отразяват изискванията на директивата.
4. Идентифициране на операторите на съществени услуги и доставчиците на цифрови услуги:
- Според изискванията на директивата, държавите членки трябва да идентифицират кои са операторите на съществени услуги и доставчиците на цифрови услуги, попадащи под обхвата на директивата.
5. Установяване на мерки за сигурност и докладване на инциденти:
- Държавите членки трябва да гарантират, че идентифицираните оператори и доставчици прилагат подходящи технически и организационни мерки за сигурност.
- Също така, трябва да се установят процедури за докладване на инциденти, които засягат сигурността на мрежите и информационните системи.
6. Сътрудничество и обмен на информация:
- Необходимо е да се насърчи сътрудничеството и обмена на информация между държавите членки, както и между компетентните органи и операторите на съществени услуги и доставчиците на цифрови услуги.
7. Надзор и санкции:
- Държавите членки трябва да установят механизми за надзор и проверка на спазването на изискванията на директивата.
- Трябва да се определят санкции за случаи на неспазване на изискванията.
Това е обща рамка и стъпките могат да варират в зависимост от специфичните условия и законодателни рамки на отделните държави членки. За по-подробна информация и точен срок за въвеждане на директивата, е препоръчително да се консултирате с официалните документи и насоки, предоставени от Европейския съюз или съответните национални органи.
Срокът за въвеждане на директивата в националното законодателство е до 17.10.2024г.
Directive - 2022/2555 - EN - EUR-Lex (europa.eu)
Directive - 2016/1148 - EN - EUR-Lex (europa.eu)
Внедряване на управленски стандарти
КОНСЕХО ЕООД (CONSEJO) е консултантска фирма, сформирана от екип консултанти с над 15 годишен опит по системи за управление в областта на международните стандарти. Фокусът на фирмата е предоставяне на консултантски услуги при разработване и внедряване на системи за управление, покриващи изискванията на международните стандарти по качеството, околната среда, безопасни условия на труд, сигурност на информацията, добри производствени практики на базата на международните стандарти: ISO 9001, ISO 14001, ISO 45001, ISO 22000, ISO 27001, IFS Food, HACCP и други.
Екипът на КОНСЕХО е участвал в реализирането на проекти във всички отрасли на икономиката. Реализираните проекти от екипа на КОНСЕХО са над 1000, в областите - производство и проектиране, строителство, търговия, информационни и комуникационни технологии, транспорт и спедиция, хотелиерство и ресторантьорство, специална продукция, енергетика, дизайн, хранително-вкусова промишленост, услуги и др. Във фирмата е изграден стриктен ред за контрол по спазването на договорените изисквания с клиентите, както сроковете на договорите, така и качеството на изпълнение на услугата. Изграденият стил на работа на фирмата се състои в разработване на истински системи за управление, съвместно с нашите клиенти, на базата на провеждане на множество обучения и оказване на пълно съдействие в процеса на внедряване. Чрез подхода си на работа КОНСЕХО осигурява и гарантира безпроблемно сертифициране на изградените системи в изключително кратки срокове.