Глави 08 Влязъл в сила: 18 октомври 2024 г.

Директива NIS2

Директива за сигурността на мрежите и информационните системи

Преглед

NIS2 заменя и значително разширява оригиналната Директива NIS, установявайки високо общо ниво на киберсигурност в целия ЕС. Тя се прилага за много по-широк кръг сектори и субекти, въвежда по-строги надзорни мерки и хармонизира санкциите в държавите членки.[1]

Като директива, NIS2 изискваше транспониране в националното законодателство до 17 октомври 2024 г. Прилагането варира в отделните държави членки.

Обхват: Съществени срещу важни субекти

Съществени субекти (по-висок контрол)[2]

СекторПримери
ЕнергетикаЕлектричество, нефт, газ, водород, централно отопление
ТранспортВъздушен, железопътен, воден, пътен
БанкиранеКредитни институции
Финансови пазариТърговски площадки, централни контрагенти
ЗдравеопазванеДоставчици на здравни услуги, лаборатории, фармация, медицински изделия
Питейна водаДоставчици на вода
Отпадъчни водиПречистване на отпадъчни води
Цифрова инфраструктураIXP, DNS, регистри на TLD, облачни услуги, центрове за данни, CDN, TSP
Управление на ИКТ услугиДоставчици на управлявани услуги, доставчици на управлявани услуги за сигурност
Държавна администрацияЦентрални правителствени органи
КосмосОператори на наземна инфраструктура

Важни субекти (по-лек контрол)

СекторПримери
Пощенски услугиПощенски и куриерски услуги
Управление на отпадъциСъбиране и третиране на отпадъци
ХимикалиПроизводство и дистрибуция
ХраниПроизводство и дистрибуция
ПроизводствоМедицински изделия, електроника, машини, превозни средства
Цифрови доставчициОнлайн пазари, търсачки, социални мрежи
Научни изследванияИзследователски организации

Праг на размер

NIS2 обикновено се прилага за средни и големи субекти:

  • Средни: 50+ служители ИЛИ оборот/баланс над 10 млн. евро
  • Големи: 250+ служители ИЛИ оборот над 50 млн. евро ИЛИ баланс над 43 млн. евро

Някои субекти се прилагат независимо от размера (DNS, регистри на TLD, облачни доставчици, центрове за данни и др.).

Основни изисквания

Мерки за управление на риска (Член 21)[3]

Субектите трябва да прилагат подходящи технически, оперативни и организационни мерки:

  1. Политики: Анализ на риска и политики за сигурност на информационните системи
  2. Обработка на инциденти: Процедури за откриване, реакция и възстановяване
  3. Непрекъснатост на бизнеса: Архивиране, възстановяване при бедствия, управление на кризи
  4. Сигурност на веригата за доставки: Изисквания за сигурност към доставчиците
  5. Мрежова сигурност: Сигурност при придобиване, разработка и поддръжка
  6. Оценка на ефективността: Политики за оценка на ефективността на мерките за сигурност
  7. Основна киберхигиена: Обучения и програми за повишаване на осведомеността
  8. Криптография: Политики за криптографски контрол и криптиране
  9. Човешки ресурси: Сигурност на персонала и контрол на достъпа
  10. Многофакторна автентикация: MFA и системи за сигурна комуникация

Докладване на инциденти (Член 23)[4]

СрокИзискване
24 часаРанно предупреждение към CSIRT/компетентен орган
72 часаУведомление за инцидент с първоначална оценка
1 месецКраен доклад с коренна причина и мерки за смекчаване

Значими инциденти трябва да се докладват, ако причиняват или могат да причинят сериозни оперативни смущения или финансови загуби, или засягат други физически или юридически лица.

Отговорност на ръководството

Ръководните органи трябва да:

  • Одобряват мерките за управление на риска по киберсигурността
  • Наблюдават изпълнението на мерките за сигурност
  • Носят лична отговорност при неспазване
  • Преминават обучение по киберсигурност

Наказания

  • Съществени субекти: До 10 милиона евро или 2% от глобалния оборот
  • Важни субекти: До 7 милиона евро или 1,4% от глобалния оборот[5]

Държавите членки могат да налагат допълнителни наказания, включително временни забрани за управление.

Задължения на разработчици и доставчици на ИКТ услуги

Ако предоставяте ИКТ услуги или продукти:

  1. Доставчици на управлявани услуги: Пряко в обхвата като съществени субекти
  2. Облачни доставчици: Пряко в обхвата като съществени субекти
  3. Разработчици на софтуер: Задължения по веригата за доставки от клиентски субекти
  4. Доставчици на сигурност: Могат да бъдат определени като важни субекти

Източници и препратки

[1]
Директива (ЕС) 2022/2555 за високо общо ниво на киберсигурност. EUR-Lex: Официален текст на NIS2
[2]
Приложения I и II на NIS2: Сектори на съществени и важни субекти. NIS2-Directive.com: Сектори
[3]
Член 21 на NIS2: Мерки за управление на риска по киберсигурността. NIS2-Directive.com: Член 21
[4]
Член 23 на NIS2: Задължения за докладване на инциденти. NIS2-Directive.com: Член 23
[5]
Член 34 на NIS2: Административни глоби. NIS2-Directive.com: Член 34