МИС 2 - Директивата за мрежова и информационна сигурност 2 / Network and Information Security 2 (NIS 2) (Пълно наименование: „Директива (ЕС) 2022/2555 на Европейския парламент и на Съвета от 14 декември 2022 г. относно мерките за високо общо ниво на киберсигурност в Съюза, за изменение на Регламент (ЕС) № 910/2014 и Директива (ЕС) 2018/1972 и за отмяна на Директива (ЕС) 2016/1148 (Директива NIS 2)“) е първата част от общоевропейското законодателство относно киберсигурността. Нейна конкретна цел e да се постигне високо общо ниво на киберсигурност в държавите членки на европейска общност.
МИС 2 / NIS 2 ще определи базовата линия за мерките за управление на риска за киберсигурността и задълженията за докладване във всички сектори, обхванати от директивата, като енергетика, транспорт, здравеопазване и цифрова инфраструктура.
Ревизираната директива има за цел да премахне различията в изискванията за киберсигурност и в прилагането на мерките за киберсигурност в различните държави членки. За да се постигне това, той определя минимални правила за регулаторна рамка и определя механизми за ефективно сътрудничество между съответните органи във всяка държава-членка. Той актуализира списъка със сектори и дейности, които са предмет на задължения за киберсигурност, и предвижда средства за правна защита и санкции, за да се гарантира изпълнението.
Директивата официално ще създаде Европейската мрежа на организацията за връзка при киберкризи, EU-CyCLONe, която ще подпомага координираното управление на широкомащабни инциденти в киберсигурността.
Мерките се основават на „подход за всички опасности“ , който има за цел да защити мрежовите и информационните системи и физическата среда на тези системи от инциденти и включва „поне“ следното:
- политики за анализ на риска и сигурност на информационната система;
- обработка на инциденти;
- непрекъснатост на бизнеса, като управление на резервно копие и възстановяване след бедствие и управление на кризи;
- сигурност на веригата за доставки, включително аспекти, свързани със сигурността, отнасящи се до взаимоотношенията между всеки субект и неговите преки доставчици или доставчици на услуги;
- сигурност при придобиването, разработването и поддръжката на мрежови и информационни системи, включително обработка и разкриване на уязвимости;
- политики и процедури за оценка на ефективността на мерките за управление на риска в киберсигурността;
- основни практики за киберхигиена и обучение по киберсигурност;
- политики и процедури по отношение на използването на криптография и, когато е подходящо, криптиране;
- сигурност на човешките ресурси, политики за контрол на достъпа и управление на активи;
- използването на решения за многофакторно удостоверяване или непрекъснато удостоверяване, защитени гласови, видео и текстови комуникации и защитени системи за спешна комуникация в субекта, когато е подходящо.
Крайни срокове: До 17 октомври 2024 г. държавите членки трябва да приемат и публикуват мерките, необходими за спазване на Директивата МИС 2 / NIS 2.
Те прилагат тези мерки от 18 октомври 2024 г.
Директива (ЕС) 2016/1148 (Директивата за МИС) се отменя, считано от 18 октомври 2024 г.
Важни задължения: Съгласно член 20 (Управление), управителните органи на основни и важни субекти трябва да одобряват мерките за управление на риска за киберсигурността, предприети от тези субекти, да наблюдават тяхното изпълнение и „могат да бъдат държани отговорни за нарушения“. NIS 2 в член 34, параграф 4 предвижда следните глоби: Държавите-членки гарантират, че когато нарушават член 21 или 23, основните субекти подлежат, в съответствие с параграфи 2 и 3 от настоящия член, на административни глоби в размер най-малко на 10 000 000 EUR или на максимум най-малко 2 % от общия световен годишен оборот през предходната финансова година на предприятието, към което принадлежи основният субект, което от двете е по-високо.
Съгласно член 20 държавите-членки гарантират, че „членовете на управителните органи на основни и важни субекти са задължени да преминат обучение“ и насърчават основните и важни субекти да предлагат подобно обучение на своите служители редовно, за да че придобиват достатъчно знания и умения, които да им позволят да идентифицират рисковете и да оценят практиките за управление на риска за киберсигурността и тяхното въздействие върху услугите, предоставяни от субекта.
Важна забележка за субекти извън ЕС: Съгласно член 26 (Юрисдикция и териториалност), ако даден субект не е установен в ЕС, но предлага услуги в рамките на ЕС, той определя представител в ЕС. Представителят е установен в една от държавите-членки, в които се предлагат услугите. Счита се, че такова образувание попада под юрисдикцията на държавата-членка, в която е установен представителят. При липса на представител всяка държава членка, в която субектът предоставя услуги, може да предприеме съдебни действия срещу субекта за нарушение на настоящата директива.
Какво можем да направим за Вас и какви са услугите, които предлагаме относно Директивата за мрежова и информационна сигурност 2 (МИС 2)/ Network and Information Security 2 (NIS 2) Directive 2020/0359 COM(2020) 823 Directive (EU) 2022/2555 (NIS 2) ?
a. Цялостна проверка и диагностика на Вашето съответствие с Директивата за мрежова и информационна сигурност 2 (МИС 2)/ Network and Information Security 2 (NIS 2) Directive 2020/0359 COM(2020) 823 Directive (EU) 2022/2555 (NIS 2). (NIS 2 gap analysis)
b. Консултиране по вече откритите несъответствия с директивата и лесното справяне с всички тях.
c. Обучения и семинари целящи запознаване на персонала с Директивата за мрежова и информационна сигурност 2 (МИС 2)/ Network and Information Security 2 (NIS 2) Directive 2020/0359 COM(2020) 823 Directive (EU) 2022/2555 (NIS 2).
d. Възможност за закупуване на готов въпросник изготвен от нас, който въпросник може да ви послужи за да идентифицирате и анализирате сами вашата среда и сами да стигнете до разликите между вашата организация и стандарт. Въпросникът е лесен и удобен за работа и може да се проведе като вътрешен одит от вашата организация. При необходимост можете да комбинирате тази услуга с нашата консултантска услуга за постигане на максимално добри и ефективни резултати.
Съответствието с Директивата за мрежова и информационна сигурност версия 2 (МИС 2)/ Network and Information Security 2 (NIS 2) Directive 2020/0359 COM(2020) 823 Directive (EU) 2022/2555 (NIS 2) представлява жизнено важна стъпка във вашето развитие в отговор на покачващите се заплахи свързани с целостта, конфиденциалността и наличието на информацията в правилното за Вас време!
Сведете риска на Вашата информационна сигурност до приемливото за Вас ниво и се доверете на нашият дългогодишен опит в предоставянето на консултантски услуги по информационна сигурност. Ако имате въпроси или се нуждаете от съвет относно NIS 2, моля, свържете се с нас.