Директивата, която трябва да се въведе в България не по-късно от 17 октомври 2024 г., създава нови задължения за фирми и организации
.png)
На 16 януари 2023 г. влезе в сила преработената директива на ЕС за киберсигурността - Директива (ЕС) 2022/2555 (известна като Network and Information Security Directive- NIS2), с която се създава модернизирана и по-хармонизирана рамка за киберсигурност за организациите в рамките на Европейския съюз. NIS 2 разширява обхвата на приложение и вече включва общо 18 сектора, разделени в две категории. Това, което e от значение за всички фирми и организации, които ще засегне, а те не са малко, е, че директивата трябва да се въведе в България не по-късно от 17 октомври 2024 г., а размерите на санкциите по нея са сходни с тези по GDPR.
А. Сектори с висока степен на критичност като:
Б. Други критични сектори като:
В обхвата на NIS 2 ще попада всяко средно и голямо предприятие (с други думи – компаниите с повече от 50 служители или с годишен оборот над 10 млн. евро) от посочените сектори.
Това на практика означава, че всяка компания от изрично изброените сектори с над 50 служители ще трябва да съобрази дейността си с набор от технически, оперативни и организационни мерки, които не са свойствени за ежедневната ѝ търговска дейност. Например доставчиците на куриерски услуги, банки, здравни заведения, компании от транспортния сектор (въздушни превозвачи), производителите на храни (зеленчуци, консервирана храна, сладкарски изделия, детски и бебешки храни и т.н.), доставчици и дистрибутори на водa, доставчици на софтуерни услуги и редица други ще попаднат в обхвата на NIS 2. Всички тези компании ще трябва да приведат дейността си в съответствие с изискванията на новата нормативна уредба.
Някои компании освен това ще попаднат в обхвата на новите правила и независимо от размера си, например: телекомуникационни оператори, доставчици на удостоверителни услуги, доставчици на DNS (система за имена на домейни услуги) и други. Държавите членки ще имат право да определят и други субекти (ако дейността им е особено важна), дори да не попадат в тези категории, а ще могат и автоматично да определят операторите на съществени услуги (както вече са определени в България по NIS 1) като съществени субекти.
Въз основа на сектора и значението на субектите (компаниите) те ще бъдат класифицирани като:
а) съществени субекти (т.е. субектите от сектора с висока степен на критичност, телекомите, доставчиците на облачни услуги и др.)
или
б) важни субекти – тук попадат субектите, попадащи в обхвата на NIS 2, но некласифицирани като съществени. Тази категория включва субектите от критичния сектор (с възможни изключения) – пощенски и куриерски услуги, химикали и храни, производители, доставчици на цифрови услуги и др.
Основното разграничение между двете категории ще бъде по отношение на надзорните и правоприлагащите мерки, както и на санкциите, които ще се прилагат за тях.
Важно е, защото NIS 2 предвижда редица нови задължения, огромни санкции и минимален набор от мерки, които компаниите ще трябва да осигурят, например:
- от субектите може да се изисква да вземат предвид уязвимостите, специфични за всеки пряк доставчик и лице, предоставящо услуги, както и цялостното качество на продуктите и практиките в областта на киберсигурността на своите доставчици, включително техните процедури за сигурно разработване;
Компаниите ще трябва да следват и нова многоетапна процедура по докладване на значителни инциденти на националния екип за реагиране при инциденти с компютърната сигурност (ЕРИКС). Тази процедура ще се състои от:
Важно за отбелязване тук е, че даден инцидент на практика ще може да бъде третиран като значителен дори когато е налице само вероятност да причини смущение в услугите на субекта или да засегне други лица, причинявайки значителни материални или нематериални вреди. Тоест, докладване ще е нужно понякога дори да не са настъпили вреди.
Предвид санкциите, които са в размери сходни на тези по GDPR, субектите следва да са наясно с това, тъй като и наглед малки инциденти биха могли да се окажат значителни, които подлежат на докладване (вж. по-долу за допълнително информация относно санкциите).
Директивата въвежда още редица нововъведения, които споменаваме само накратко:
За тази цел до 17 януари 2025 г. тези субекти ще бъдат задължени да предоставят определен набор от информация на компетентния орган (напр. IP адреси, къде се предоставят регулираните услуги, данни за контакт и т.н.).
NIS 2 предвижда извършването и на координирани оценки на риска за сигурността на критични ИКТ услуги, продукти и системи по веригата на доставки на равнище ЕС. При тези оценки ще трябва да се вземат предвид редица фактори, вкл. нетехнически рискови фактори, като в преамбюла на акта е обяснено, че последното включва фактори като „неправомерно влияние на трета държава върху снабдителите и доставчиците на услуги“.
Ето защо може да се очаква в близко бъдеще нов инструментариум на ниво ЕС за сигурността на веригата на доставки. Държавите членки ще трябва също и да насърчават използването на европейски и международни стандарти, като ще могат дори да изискват използването на ИКТ продукти, услуги и процеси, сертифицирани по европейски схеми за сертифициране на киберсигурността.
Съществените субекти (напр. енергийни предприятия, телекоми и доставчици на облачни услуги) вече ще подлежат на всеобхватен предварителен и последващ контрол от компетентните органи, защото осъществяват дейности, които имат по-голяма степен на важност и критичност за обществото. Важни субекти (напр. пощенски и куриерски услуги, производители на химикали и храни) ще подлежат единствено на последващ надзор.
В България този орган се очаква да бъде Министерството на електронното управление, както е и сега по NIS 1, и вече ще има далеч по-сериозни правомощия за контрол по спазването на изискванията. Например: ще може да извършва проверки на място, дистанционни проверки, да изисква достъп до информация и документи, да извършва целеви одити на сигурността и др.
Юрисдикция
Основното правило е, че съществените и важни субекти ще попадат под юрисдикцията на държавите членки, в които са установени. Ако са установени в повече от една държава членка, те ще попадат под юрисдикцията на всяка от тях.
Въпреки това ще има изключения за някои субекти, за които NIS 2 (поне на първо четене) изглежда установява режим за обслужване на едно гише, например:
Трансграничните доставчици, които предлагат услуги в ЕС, но не са установени там, пък ще трябва да определят представител в ЕС, който да е установен в една от държавите, в които се предлагат услугите (сходно на GDPR). При липса на представител в ЕС всяка държава членка, в която субектът предоставя услуги, може да предприеме правни действия срещу субекта.
Управителните органи /физическите лица/ на съществени и важни субекти ще носят и лична отговорност за неспазване на NIS 2. Това е новост и е изрично предвидена като инструмент, който да гарантира, че ръководните/управителни органи в компаниите ще предприемат необходимите стъпки и действия да прилагат надлежно всички нови мерки. За тази цел от управителните органи ще се изисква да преминават специални обучения, а компаниите ще бъдат насърчавани да предлагат редовно подобни обучения на своите служители.
В NIS 2 са предвидени санкции, подобни на тези по GDPR:
Държавите членки ще могат по тяхна преценка да въведат и по-висок максимален размер.
Наред с това, органите ще имат и други съществени правомощия:
NIS 2 трябва да се въведе в България не по-късно от 17 октомври 2024 г.
Какви промени да очакваме в местното законодателство?
NIS 2 ще наложи промени в Закона за киберсигурност и съответните подзаконови нормативни актове, като ще е наложително и издаването на нови такива. Освен това се очаква преразглеждане на Закона за електронните съобщения и на Правилата за минималните изисквания за сигурност на обществените електронни съобщителни мрежи и услуги. Други секторни закони също ще трябва да бъдат изменени.
Основни изводи
Субектите трябва да започнат вътрешни процеси за оценка на своите продукти, услуги, верига за доставки и т.н. и да установят дали и кои от техните услуги попадат в обхвата на новите правила, включително:
