Нови правила относно киберсигурността на мрежите и информационните системи
Считано от 18 октомври 2024 г. Директива (ЕС) 2022/2555 на Европейския парламент и на Съвета от 14 декември 2022 г. /МИС2/ отменя досегашната Директива 2016/1148 /МИС1/ за повишаване на киберсигурността на мрежите и информационните системи[1].
С новата Директивата МИС2 се установява единна законодателна рамка за поддържане на киберсигурността в сектори с висока степен на критичност в целия Европейски съюз /ЕС/. МИС2 цели да повиши равнището на киберсигурност чрез предвидените с по-широк обхват, по-ясни правила и по-силни инструменти за надзор.
Директивата обхваща следните сектори с висока степен на критичност:
1. Енергетика, която обхваща: електроенергия, включително производствени, разпределителни и преносни системи и зарядни точки; районно отопление и охлаждане; нефт, в т.ч. тръбопроводи за производство, съхранение и пренос; газ, включително системи за доставка, разпределение и пренос и съхранение; и водород.
2. Транспорт: въздушен, железопътен, воден и автомобилен.
3. Банкови инфраструктури и инфраструктури на финансови пазари, като кредитни институции, оператори на места за търговия и централни контрагенти.
4. Здравеопазване, в т.ч. доставчици на здравни услуги, производители на основни фармацевтични продукти и медицински изделия от критично значение и референтни лаборатории на ЕС.
5. Питейна вода.
6. Отпадъчни води.
7. Цифрова инфраструктура, включително доставчици на услуги за центрове за данни, изчислителни услуги в облак, обществени електронни съобщителни мрежи и обществено достъпни електронни съобщителни услуги.
8. Управление на услуги в областта на информационни и комуникационни технологии (услуги между предприятия).
9. Космос.
10. Публичната администрация на централно и регионално ниво, с изключение на съдебната система, парламентите и централните банки. Не се прилага и за субекти на публичната администрация, които извършват дейности в областта на националната сигурност, обществената сигурност, отбраната и правоприлагането.
11. Пощенски и куриерски услуги.
12. Управление на отпадъците.
13. Производство, изготвяне и дистрибуция на химикали.
14. Производство, преработка и дистрибуция на храни.
15. Производство на медицински изделия, компютърни, електронни и оптични продукти, някои видове електрически съоръжения и машини, моторни превозни средства и друго транспортно оборудване.
16. Доставчици на цифрови услуги: доставчици на онлайн места за търговия, търсачки и социални мрежи.
17. Научноизследователски организации.
В изпълнение на МИС2 средните и големи субекти от посочените критични сектори ще имат задължение да предприемат подходящи мерки за управление на риска за киберсигурност и да уведомяват съответните национални органи за инциденти, които могат да причинят значителни смущения и щети. В тази връзка съгласно изискванията на Директивата държавите – членки трябва да определят собствени национални стратегии за киберсигурност, като си сътрудничат с ЕС за трансгранична реакция и правоприлагане.
МИС2 изисква още държавите да подобрят способностите си в областта на киберсигурността и същевременно с това да въвеждат мерки за управление на риска и изисквания за докладване на субекти от повече критични сектори. Всяка държава-членка трябва да изготви и редовно да актуализира списък с операторите на основни услуги и да гарантират, че тези субекти спазват изискванията на МИС2.
Директива МИС2 регламентира и надзора, правоприлагането и доброволните партньорски проверки за укрепване на взаимното доверие и капацитета в областта на киберсигурността на територията на ЕС. В тази връзка с МИС2 се създава мрежа от Екипи за реагиране при инциденти с компютърната сигурност (CSIRT) и Европейска мрежа за връзка при киберкризи (EU-CyCLONe), която да подпомогне координираното управление и да осигури обмена на информация между държавите и институциите на ЕС при мащабни инциденти и кризи.
[1] https://digital-strategy.ec.europa.eu/bg/policies/nis2-directive
Публикувана на: 04/02/2025
