Директивата NIS 2 беше публикувана в Официален вестник на Европейския съюз като Директива (ЕС) 2022/2555 през декември 2022 г.
Пълно име: Пълното име е „Директива (ЕС) 2022/2555 на Европейския парламент и на Съвета от 14 декември 2022 г. относно мерките за високо общо ниво на киберсигурност в Съюза, за изменение на Регламент (ЕС) № 910/2014 и Директива (ЕС) 2018/1972 и за отмяна на Директива (ЕС) 2016/1148 (Директива NIS 2)“.
Крайни срокове: До 17 октомври 2024 г. държавите членки трябва да приемат и публикуват мерките, необходими за спазване на Директивата NIS 2.
Те прилагат тези мерки от 18 октомври 2024 г.
Директива (ЕС) 2016/1148 (Директивата за МИС) се отменя, считано от 18 октомври 2024 г.
До 17 юли 2024 г. и на всеки 18 месеца след това EU-CyCLONe представя на Европейския парламент и на Съвета доклад с оценка на работата си.
До 17 октомври 2024 г. Комисията приема актове за изпълнение за определяне на техническите и методологичните изисквания на мерките по отношение на доставчиците на DNS услуги, регистрите на имена на домейни от първо ниво, доставчиците на услуги за изчисление в облак, доставчиците на услуги за центрове за данни, доставчиците на мрежи за доставка на съдържание, управляваните услуги доставчици, доставчици на управлявани услуги за сигурност, доставчици на онлайн пазари, на онлайн търсачки и платформи за услуги за социални мрежи и доставчици на доверителни услуги.
На 17 януари 2025 г. Групата за сътрудничество установява, със съдействието на Комисията и ENISA и, когато е уместно, мрежата на CSIRT, методологията и организационните аспекти на партньорските проверки с оглед извличане на поуки от споделения опит, укрепване на взаимното доверие , постигане на високо общо ниво на киберсигурност, както и подобряване на способностите и политиките за киберсигурност на държавите членки, необходими за прилагането на настоящата директива. Участието в партньорските проверки е доброволно. Партньорските проверки се извършват от експерти по киберсигурност. Експертите по киберсигурност се определят от поне две държави членки, различни от държавата членка, която се преразглежда.
До 17 април 2025 г. държавите членки изготвят списък на основни и важни субекти, както и субекти, предоставящи услуги за регистрация на имена на домейни. Държавите-членки преразглеждат и, когато е уместно, актуализират този списък редовно и най-малко на всеки две години след това.
До 17 април 2025 г. и на всеки две години след това компетентните органи уведомяват Комисията и Групата за сътрудничество за броя на основните и важни субекти за всеки сектор.
До 17 октомври 2027 г. и на всеки 36 месеца след това Комисията прави преглед на функционирането на настоящата директива и докладва на Европейския парламент и на Съвета.
Важни задължения: Съгласно член 20 (Управление), управителните органи на основни и важни субекти трябва да одобряват мерките за управление на риска за киберсигурността, предприети от тези субекти, да наблюдават тяхното изпълнение и „могат да бъдат държани отговорни за нарушения“.
Съгласно член 20 държавите-членки гарантират, че „членовете на управителните органи на основни и важни субекти са задължени да преминат обучение“ и насърчават основните и важни субекти да предлагат подобно обучение на своите служители редовно, за да придобиват достатъчно знания и умения, които да им позволят да идентифицират рисковете и да оценят практиките за управление на риска за киберсигурността и тяхното въздействие върху услугите, предоставяни от субекта.
Съгласно член 21 (Мерки за управление на риска за киберсигурността), основните и важни субекти трябва да предприемат подходящи и пропорционални технически, оперативни и организационни мерки за управление на рисковете, свързани със сигурността на мрежовите и информационните системи, които тези субекти използват за своите операции или за предоставяне на техните услуги и за предотвратяване или минимизиране на въздействието на инциденти върху получателите на техните услуги и върху други услуги.
Като се вземат предвид „най-съвременните“ и, където е приложимо, съответните европейски и международни стандарти, както и разходите за прилагане, посочените мерки гарантират ниво на сигурност на мрежовите и информационните системи, подходящо за рисковете позирана. Когато се оценява пропорционалността на тези мерки, надлежно се вземат предвид степента на излагане на субекта на рискове, размерът на субекта и вероятността от възникване на инциденти и тяхната тежест, включително тяхното обществено и икономическо въздействие.
Мерките се основават на „подход за всички опасности“, който има за цел да защити мрежовите и информационните системи и физическата среда на тези системи от инциденти и включва „поне“ следното:
а) политики за анализ на риска и сигурност на информационната система;
б) обработка на инциденти;
в) непрекъснатост на бизнеса, като управление на резервно копие и възстановяване след бедствие и управление на кризи;
г) сигурност на веригата за доставки, включително аспекти, свързани със сигурността, отнасящи се до взаимоотношенията между всеки субект и неговите преки доставчици или
д) сигурност при придобиването, разработването и поддръжката на мрежови и информационни системи, включително обработка и разкриване на уязвимости;
е) политики и процедури за оценка на ефективността на мерките за управление на риска в киберсигурността;
ж) основни практики за киберхигиена и обучение по киберсигурност;
з) политики и процедури по отношение на използването на криптография и, когато е подходящо, криптиране;
(i) сигурност на човешките ресурси, политики за контрол на достъпа и управление на активи;
й) използването на решения за многофакторно удостоверяване или непрекъснато удостоверяване, защитени гласови, видео и текстови комуникации и защитени системи за спешна комуникация в субекта, когато е подходящо.
Важна забележка за субекти извън ЕС: Съгласно член 26 (Юрисдикция и териториалност), ако даден субект не е установен в ЕС, но предлага услуги в рамките на ЕС, той определя представител в ЕС. Представителят е установен в една от държавите-членки, в които се предлагат услугите. Счита се, че такова образувание попада под юрисдикцията на държавата-членка, в която е установен представителят. При липса на представител всяка държава членка, в която субектът предоставя услуги, може да предприеме съдебни действия срещу субекта за нарушение на настоящата директива.
Източник: https://cypro.bg/