Директива за Мрежова и информационна сигурност 2 / NIS 2

Директива за мрежова и информационна сигурност 2 ( МИС 2 ) / NIS 2

Директивата за мрежова и информационна сигурност 2 ( МИС 2 )/ Network and Information Security 2 (NIS 2) (Пълно наименование: „Директива (ЕС) 2022/2555 на Европейския парламент и на Съвета от 14 декември 2022 г. относно мерките за високо общо ниво на киберсигурност в Съюза, за изменение на Регламент (ЕС) № 910/2014 и Директива (ЕС) 2018/1972 и за отмяна на Директива (ЕС) 2016/1148 (Директива NIS 2)“) е първата част от общоевропейското законодателство относно киберсигурността. Нейна конкретна цел e да се постигне високо общо ниво на киберсигурност в държавите членки на европейска общност.

МИС 2 / NIS 2 ще определи базовата линия за мерките за управление на риска за киберсигурността и задълженията за докладване във всички сектори, обхванати от директивата, като енергетика, транспорт, здравеопазване и цифрова инфраструктура.

Ревизираната директива има за цел да премахне различията в изискванията за киберсигурност и в прилагането на мерките за киберсигурност в различните държави членки. За да се постигне това, той определя минимални правила за регулаторна рамка и определя механизми за ефективно сътрудничество между съответните органи във всяка държава-членка. Той актуализира списъка със сектори и дейности, които са предмет на задължения за киберсигурност, и предвижда средства за правна защита и санкции, за да се гарантира изпълнението.

Директивата официално ще създаде Европейската мрежа на организацията за връзка при киберкризи, EU-CyCLONe, която ще подпомага координираното управление на широкомащабни инциденти в киберсигурността.

Мерките се основават на „подход за всички опасности“ , който има за цел да защити мрежовите и информационните системи и физическата среда на тези системи от инциденти и включва „поне“ следното:

  • политики за анализ на риска и сигурност на информационната система;
  • обработка на инциденти;
  • непрекъснатост на бизнеса, като управление на резервно копие и възстановяване след бедствие и управление на кризи;
  • сигурност на веригата за доставки, включително аспекти, свързани със сигурността, отнасящи се до взаимоотношенията между всеки субект и неговите преки доставчици или доставчици на услуги;
  • сигурност при придобиването, разработването и поддръжката на мрежови и информационни системи, включително обработка и разкриване на уязвимости;
  • политики и процедури за оценка на ефективността на мерките за управление на риска в киберсигурността;
  • основни практики за киберхигиена и обучение по киберсигурност;
  • политики и процедури по отношение на използването на криптография и, когато е подходящо, криптиране;
  • сигурност на човешките ресурси, политики за контрол на достъпа и управление на активи;
  • използването на решения за многофакторно удостоверяване или непрекъснато удостоверяване, защитени гласови, видео и текстови комуникации и защитени системи за спешна комуникация в субекта, когато е подходящо.

Крайни срокове: До 17 октомври 2024 г. държавите членки трябва да приемат и публикуват мерките, необходими за спазване на Директивата МИС 2 / NIS 2.

Те прилагат тези мерки от 18 октомври 2024 г.

Директива (ЕС) 2016/1148 (Директивата за МИС) се отменя, считано от 18 октомври 2024 г.

Важни задължения: Съгласно член 20 (Управление), управителните органи на основни и важни субекти трябва да одобряват мерките за управление на риска за киберсигурността, предприети от тези субекти, да наблюдават тяхното изпълнение и „могат да бъдат държани отговорни за нарушения“. NIS 2 в член 34, параграф 4 предвижда следните глоби: Държавите-членки гарантират, че когато нарушават член 21 или 23, основните субекти подлежат, в съответствие с параграфи 2 и 3 от настоящия член, на административни глоби в размер най-малко на 10 000 000 EUR или на максимум най-малко 2 % от общия световен годишен оборот през предходната финансова година на предприятието, към което принадлежи основният субект, което от двете е по-високо.

Съгласно член 20 държавите-членки гарантират, че „членовете на управителните органи на основни и важни субекти са задължени да преминат обучение“ и насърчават основните и важни субекти да предлагат подобно обучение на своите служители редовно, за да че придобиват достатъчно знания и умения, които да им позволят да идентифицират рисковете и да оценят практиките за управление на риска за киберсигурността и тяхното въздействие върху услугите, предоставяни от субекта.

Важна забележка за субекти извън ЕС: Съгласно член 26 (Юрисдикция и териториалност), ако даден субект не е установен в ЕС, но предлага услуги в рамките на ЕС, той определя представител в ЕС. Представителят е установен в една от държавите-членки, в които се предлагат услугите. Счита се, че такова образувание попада под юрисдикцията на държавата-членка, в която е установен представителят. При липса на представител всяка държава членка, в която субектът предоставя услуги, може да предприеме съдебни действия срещу субекта за нарушение на настоящата директива.


Какво можем да направим за Вас и какви са услугите, които предлагаме относно Директивата за мрежова и информационна сигурност 2 (МИС 2)/ Network and Information Security 2 (NIS 2) Directive 2020/0359 COM(2020) 823 Directive (EU) 2022/2555 (NIS 2) ?

a. Цялостна проверка и диагностика на Вашето съответствие с Директивата за мрежова и информационна сигурност 2 (МИС 2)/ Network and Information Security 2 (NIS 2) Directive 2020/0359 COM(2020) 823 Directive (EU) 2022/2555 (NIS 2). (NIS 2 gap analysis)

b. Консултиране по вече откритите несъответствия с директивата и лесното справяне с всички тях.

c. Обучения и семинари целящи запознаване на персонала с Директивата за мрежова и информационна сигурност 2 (МИС 2)/ Network and Information Security 2 (NIS 2) Directive 2020/0359 COM(2020) 823 Directive (EU) 2022/2555 (NIS 2).

d. Възможност за закупуване на готов въпросник изготвен от нас, който въпросник може да ви послужи за да идентифицирате и анализирате сами вашата среда и сами да стигнете до разликите между вашата организация и стандарт. Въпросникът е лесен и удобен за работа и може да се проведе като вътрешен одит от вашата организация. При необходимост можете да комбинирате тази услуга с нашата консултантска услуга за постигане на максимално добри и ефективни резултати.

Съответствието с Директивата за мрежова и информационна сигурност версия 2 (МИС 2)/ Network and Information Security 2 (NIS 2) Directive 2020/0359 COM(2020) 823 Directive (EU) 2022/2555 (NIS 2) представлява жизнено важна стъпка във вашето развитие в отговор на покачващите се заплахи свързани с целостта, конфиденциалността и наличието на информацията в правилното за Вас време!

Сведете риска на Вашата информационна сигурност до приемливото за Вас ниво и се доверете на нашият дългогодишен опит в предоставянето на консултантски услуги по информационна сигурност. Ако имате въпроси или се нуждаете от съвет относно NIS 2, моля, свържете се с нас.