Вашата оценка 5.00 от 4 гласа
Директива NIS2
На 16 януари 2023 г. влезе в сила Директивата относно мерките за високо общо ниво на киберсигурност в Европейския съюз (Директивата NIS2). Директивата NIS2 отменя настоящата Директива (ЕС) 2016/1148 (NISD). Разширява се полето на приложение така, че да обхване по-голяма част от секторите на икономиката и така да осигури включване на ключови обществени и икономически дейности от жизненоважно значение за вътрешния пазар на Съюза.
Изискванията за киберсигурност, наложени на субектите, предоставящи икономически значими услуги или дейности, се различават значително в държавите членки. Настоящата директива има за цел да премахне тези различия.
Какво е различното при NIS2?
NIS2 се прилага за по-широк обхват на сектори и услуги от тези в първоначалната директива. Докато NISD се прилага предимно за оператори на съществени услуги и доставчици на цифрови услуги, NIS2 премахва това разграничение и въвежда по-широката концепция за „съществени“ и „важни“ субекти и на практика разширява видовете организации, които попадат в тези категории.
Съществените субекти (напр. енергийни предприятия, телекоми и доставчици на облачни услуги) вече ще подлежат на всеобхватен предварителен и последващ контрол от компетентните органи, защото осъществяват дейности, които имат по-голяма степен на важност и критичност за обществото. Важни субекти (напр. пощенски и куриерски услуги, производители на химикали и храни) ще подлежат единствено на последващ надзор.
Изискванията за киберсигурност, наложени на субектите, предоставящи икономически значими услуги или дейности, се различават значително в държавите членки. Настоящата директива има за цел да премахне тези различия.
Какво е различното при NIS2?
NIS2 се прилага за по-широк обхват на сектори и услуги от тези в първоначалната директива. Докато NISD се прилага предимно за оператори на съществени услуги и доставчици на цифрови услуги, NIS2 премахва това разграничение и въвежда по-широката концепция за „съществени“ и „важни“ субекти и на практика разширява видовете организации, които попадат в тези категории.
Съществените субекти (напр. енергийни предприятия, телекоми и доставчици на облачни услуги) вече ще подлежат на всеобхватен предварителен и последващ контрол от компетентните органи, защото осъществяват дейности, които имат по-голяма степен на важност и критичност за обществото. Важни субекти (напр. пощенски и куриерски услуги, производители на химикали и храни) ще подлежат единствено на последващ надзор.
Съществени и важни субекти по сектор
В обхвата на NIS2 попада всяко средно и голямо предприятие – компаниите с повече от 50 служители или с годишен оборот над 10 млн. евро от изброените сектори. Това на практика означава, че всяка компания от тези сектори с над 50 служители ще трябва да съобрази дейността си с набор от технически, оперативни и организационни мерки. Например доставчиците на куриерски услуги, банки, здравни заведения, превозвачи, производителите на храни (зеленчуци, консервирана храна, сладкарски изделия, детски и бебешки храни и т.н.), доставчици и дистрибутори на вода, доставчици на софтуерни услуги и редица други ще попаднат в обхвата на NIS2. Някои компании попаднат в обхвата на новите правила и независимо от размера си, например: телекомуникационни оператори, доставчици на удостоверителни услуги, доставчици на DNS (система за имена на домейни услуги) и други. Всички тези компании ще трябва да приведат дейността си в съответствие с изискванията на новата нормативна уредба.
NIS 2 предвижда редица нови задължения и минимален набор от мерки, които компаниите ще трябва да осигурят, например:
NIS 2 предвижда редица нови задължения и минимален набор от мерки, които компаниите ще трябва да осигурят, например:
- политики за контрол на достъпа,
- процедури за действия при инцидент,
- сигурност на веригата за доставка, включително взаимовръзките между всеки субект и неговите преки снабдители или доставчици на услуги,
- въвеждане на многофакторна автентикация, защитени гласови, видео и текстови съобщения и защитени системи за спешна комуникация в рамките на субекта, когато е целесъобразно,
- добри практики и обучение в областта на киберсигурността относно принципите на нулево доверие (zero-trust), софтуерни актуализации, конфигурация на устройства и др.
Компаниите ще трябва да следват и нова процедура по докладване на значителни инциденти на националния екип за реагиране при инциденти с компютърната сигурност (ЕРИКС):
- първоначално уведомление в рамките на 24 часа;
- повторно уведомление в рамките на 72 часа;
- междинен доклад в някои случаи (при поискване);
- окончателен доклад с допълнителна информация за инцидента в рамките на един месец;
- в някои случаи може да се изисква и уведомяване на потенциално засегнатите потребители.
Съгласно NIS2, инцидент се счита за значителен, ако е причинил или е в състояние да причини сериозно смущение в услугите или финансова загуба за засегнатия субект или е засегнал или е в състояние да засегне други физически или юридически лица. Това означава, че трябва да се докладват инциденти, дори и да не са настъпили вреди.
Предвид санкциите, компаниите следва да са наясно с това, тъй като и наглед малки инциденти биха могли да се окажат значителни, които подлежат на докладване. Съгласно Директивата NIS2 компетентните органи ще могат да разчитат на солиден набор от правомощия за правоприлагане и разследване, като например извършване на одити на сигурността и изискване на данни, информация и документи, както и да налагат глоби:
Предвид санкциите, компаниите следва да са наясно с това, тъй като и наглед малки инциденти биха могли да се окажат значителни, които подлежат на докладване. Съгласно Директивата NIS2 компетентните органи ще могат да разчитат на солиден набор от правомощия за правоприлагане и разследване, като например извършване на одити на сигурността и изискване на данни, информация и документи, както и да налагат глоби:
- за съществени субекти, най-малко до 10 млн. евро или 2% от световния годишен оборот;
- за важни субекти, най-малко до 7 млн. евро или 1,4% от световния годишен оборот.
В тази връзка, основното разграничаване между двете категории – съществени и важни субекти, е по отношение на надзорните и правоприлагащите мерки, както и на санкциите, които ще се прилагат към тях. Властите не са задължени да уведомяват организациите, дали попадат в обхвата на настоящата Директива. Те трябва сами да се оценят въз основа на критериите, които включват елементи на индустрията и съображения за размера. Управителните органи на основни и важни субекти също могат да бъдат държани отговорни за неспазване на разпоредбите на Директивата NIS2.
Какво следва?
Тъй като директивите на ЕС нямат пряко действие в държавите членки, те трябва да транспонират изискванията на Директивата NIS2 в националното законодателство, преди да станат приложими. Транспонирането трябва да бъде направено до 17 октомври 2024 г. и да бъдат публикувани съответните нормативни документи, които да започнат да се прилагат от 18 октомври 2024 г. Следете новините на нашата страница. Ще ви информираме за мерките, които трябва да предприемете. Можем да сме полезни и с оценката дали вашата организация попада в обхвата на NIS2, консултации относно мерки за общо ниво на киберсигурност, въвеждане на минимални изисквания за киберсигурност, провеждане на обучения и др.
Какво следва?
Тъй като директивите на ЕС нямат пряко действие в държавите членки, те трябва да транспонират изискванията на Директивата NIS2 в националното законодателство, преди да станат приложими. Транспонирането трябва да бъде направено до 17 октомври 2024 г. и да бъдат публикувани съответните нормативни документи, които да започнат да се прилагат от 18 октомври 2024 г. Следете новините на нашата страница. Ще ви информираме за мерките, които трябва да предприемете. Можем да сме полезни и с оценката дали вашата организация попада в обхвата на NIS2, консултации относно мерки за общо ниво на киберсигурност, въвеждане на минимални изисквания за киберсигурност, провеждане на обучения и др.
ЕТИКЕТИ
Новини
27
02.24
ISO и климатичните промени
Изменение 1: Действия, свързани с изменението на климата
В края на миналата с...
05
02.24
ISO/IEC 27001:2023 на български език
Българският институт по стандартизация публикува БДС EN ISO/IEC 27001:2023 "...
Полезно
18
10.23
EMAS – Схема за управление по околна среда и одит
Европейската Схема за управление по околна среда и одит (Eco-management and Audi...
10
08.23
Стандарти за защита на автомобилната сигурност
През последните няколко години автомобилната индустрия претърпя бързи промен...
Внедряване на управленски стандарти
КОНСЕХО ЕООД (CONSEJO) е консултантска фирма, сформирана от екип консултанти с над 15 годишен опит по системи за управление в областта на международните стандарти. Фокусът на фирмата е предоставяне на консултантски услуги при разработване и внедряване на системи за управление, покриващи изискванията на международните стандарти по качеството, околната среда, безопасни условия на труд, сигурност на информацията, добри производствени практики на базата на международните стандарти: ISO 9001, ISO 14001, ISO 45001, ISO 22000, ISO 27001, IFS Food, HACCP и други.
Екипът на КОНСЕХО е участвал в реализирането на проекти във всички отрасли на икономиката. Реализираните проекти от екипа на КОНСЕХО са над 1000, в областите - производство и проектиране, строителство, търговия, информационни и комуникационни технологии, транспорт и спедиция, хотелиерство и ресторантьорство, специална продукция, енергетика, дизайн, хранително-вкусова промишленост, услуги и др. Във фирмата е изграден стриктен ред за контрол по спазването на договорените изисквания с клиентите, както сроковете на договорите, така и качеството на изпълнение на услугата. Изграденият стил на работа на фирмата се състои в разработване на истински системи за управление, съвместно с нашите клиенти, на базата на провеждане на множество обучения и оказване на пълно съдействие в процеса на внедряване. Чрез подхода си на работа КОНСЕХО осигурява и гарантира безпроблемно сертифициране на изградените системи в изключително кратки срокове.
Партньори
