+ 359 89 430 0484 / office@murgova.com

Европейска регулация на киберсигурността и влиянието й върху бизнеса

Европейска регулация на киберсигурността и влиянието й върху бизнеса
април 4, 2023 Силвана Джаркова

Развитието на дигиталното общество налага създаването на законодателни механизми за превенция и реакция срещу киберзаплахи на европейско и национално ниво, които да поставят високи изисквания към сектори с голямо значение за функционирането на обществото, като същевременно подпомогнат изграждането и поддържането на системи за киберсигурност в предприятията.

Към настоящия момент в България тези отношения се регулират със Закона за киберсигурност, обнародван в брой 94/2018 на ДВ, с който се транспонира Директива 2016/1148 на ЕС относно мерки за високо общо ниво на сигурност на мрежите и информационните системи (NIS) и с Наредба за минималните изисквания за мрежова и информационна сигурност.

На 16.01.2023 г. влезе в сила нова Директива на ЕС – Директива 2022/2555 относно мерки за високо общо ниво на киберсигурност в Съюза (Network and Information Systems Directive – NIS2). Държавите-членки следва да я транспонират на местно ниво и да подсигурят контролни системи в областта на киберсигурността до 17.10.2024 г. Съобразно NIS2 се установява ред за отчитане на инциденти, управление на риска за киберсигурността, управление на риска при веригата на доставки и значителни по стойност санкции за нарушения.

Кой са задължени субекти според NIS2?

Директивата засяга средни (с над 50 служители или с годишен оборот по-голям от 10 милиона евро) и големи предприятия (с над 250 души и които имат или годишен оборот над 50 милиона евро или годишен баланс, който надвишава 43 милиона евро). Задължените предприятия се разделят на съществени и важни субекти, в следните сектори:

Съществени субекти в сектори:

  • Енергия – електричество, нефт, природен газ, централно отопление и охлаждане и водород;
  • Транспорт – въздушен, железопътен, воден и автомобилен;
  • Банкови услуги и инфраструктури на финансовия пазар;
  • Здравеопазване – включително медицински лаборатории, производство и клинични изпитвания на фармацевтични продукти и медицински изделия,
  • Питейна вода и отпадъчни води;
  • Цифрови инфраструктури – телекомуникации, центрове за данни, удостоверителни и облачни услуги;
  • Информационни и комуникационни услуги;

Важни субекти в сектори:

  • Пощенски и куриерски услуги;
  • Управление на отпадъците;
  • Производство и разпространение на химикали;
  • Производство, преработка и разпространение на храни и хранителни продукти;
  • Производство на техника и оборудване – медицинско, компютърно и транспортно оборудване и електроника и машини;
  • Предоставяне на дигитални услуги – онлайн търсачки, онлайн търговия, социални платформи и мрежи;

Директива 2022/2555 на ЕС не се прилага за микро и малките предприятия, освен ако те имат ключова роля за икономиките или обществата на държавите-членки, като оператори на обществени електронни съобщителни мрежи или доставчици на съответните услуги, доставчици на доверителни услуги или регистри на имена на домейни от първо ниво (top-level domain – TLD), услуги за виртуални указател, в които се съхранява информацията за домейн имената и отговарящите им IP адреси (Domain Name System – DNS) или когато прекъсването на услугата може да има значителни последици в областта на общественото здраве.

Държавите членки следва да извършват оценка на своите национални стратегии за киберсигурност редовно и поне на всеки пет години въз основа на ключови показатели за ефективност и при необходимост ги актуализират. През 2022 г. беше приета и Актуализирана Национална стратегия за киберсигурност „Киберустойчива България 2023”, чиято основна цел е изграждането на Национална екосистема за киберсигурност и интегриране в системата за киберсигурност на Европейския съюз. При съставянето на новата национална оценка в България могат да бъдат по-детайлно конкретизирани и допълнени сектори, които са приоритетни за страната.

Следва да бъде определен и орган на национално ниво, които да събира данни от фирмите, да поддържа регистри, да бъде уведомен при възникване на кибератака, да има правомощията да извършва проверки, осъществява контрол и да налага административни наказания за неспазване на законодателството. България все още не е определила изрично органи за контрол по отношение на изпълнението на задълженията по Директивата, но вероятно тези функции ще бъдат възложени на Министерство на електронното управление и Изпълнителна агенция „Инфраструктура на електронното управление“.

Мерки за гарантиране на киберсигурност

За да изпълнят нормите за киберсигурност фирмите ще трябва да предприемат мерки, които включват:

  • политики за анализ на риска и сигурност на информационните системи и конкретни действия при инцидент, гарантират непрекъснатост на стопанската дейност;
  • сигурност на веригата за доставка, включително свързани със сигурността аспекти относно взаимовръзките между всеки субект и неговите преки снабдители или доставчици на услуги;
  • сигурност при придобиването на мрежови и информационни системи, разработване и поддръжка, предприемане на действия при уязвимости и оповестяването им,
  • политики и процедури за оценяване на ефективността на мерките за управление на риска в областта на киберсигурността,
  • основни киберхигиенни практики и обучение в областта на киберсигурността, политики и процедури относно използването на криптография, криптиране,
  • сигурност на човешките ресурси, политики за контрол на достъпа и управление на активи, използването на многофакторни решения за удостоверяване на автентичността или непрекъснато удостоверяване на автентичността, защитени гласови, видео и текстови съобщения и защитени системи за спешна комуникация в рамките на субекта.

Задължените субекти предоставят на националните контролните органи  информация за „ранно предупреждение“ в рамките на 24 часа от узнаване за инцидента, уведомление за инцидент в рамките на 72 часа след узнаването на инцидента, първоначална оценка на инцидента, включително по отношение на неговата тежест и въздействие, междинен доклад при поискване и окончателен доклад не по-късно от един месец след подаване на уведомлението за инцидента. Окончателният доклад трябва да включва подробно описание на инцидента, включително вероятната причина за инцидента, приложените смекчаващи мерки и всяко трансгранично въздействие на инцидента.

Последици от неизпълнението

В новата Директива са предвидени санкции до 10 милиона евро или 2% от общия световен годишен оборот за съществените субекти и до 7 милиона евро или най-малко 1,4 % за важните субекти, като при налагането им се предпочита по-голямата от двете суми.

Препоръки за действия преди окончателното въвеждане на задълженията за киберсигурност

Препоръчителни действия за дружествата са анализ на бизнес процесите, които попадат в обхвата на NIS2, оценка на управление на риска и състоянието на киберсигурността на организацията, график и съставяне на стратегия за привеждане в съответствие, провеждане на тестове за проверка на устойчивост на кибератаки, преглед и подобряване на сигурността при веригата за доставки и отчитане на рисковете относно достъпа до системи и комуникацията с партньори и трети страни.

Възможности за финансиране, свързани с развитие на системи за киберсигурност на бизнеса

В контекста на тези промени и в изпълнение на стратегията на ЕС за постигане на максимално ниво на киберустойчивост, на 24.03.2023 г. Европейската комисия прие Програмата Цифрова Европа за цифров преход и киберсигурност за периода 2023-2024 г., в рамките, на която се предвижда да бъде осигурено финансиране на МСП и стартиращи бизнеси чрез Инвестиционната платформа за стратегически цифрови технологии по програмата InvestEU, за да се приспособят към новите регулаторни условия за киберсигурност.

Сферата на киберсигурността се развива непрестанно с оглед динамиката на отношения. Цифровизацията на бизнес процесите води не само до стремеж към постигане на съответствие с актуалните нормативни изисквания, но се налага като своеобразна превантивна мярка, която гарантира дигиталната сигурност на бизнеса и поддържането на адаптивни и коректни дигитални бизнес партньорства. Съветваме компаниите да извършат необходимите действия и преразгледат вътрешните си процедури, за да се подготвят за новите изисквания.

Екипът на Адвокатско дружество „Мургова и партньори“ притежава дългогодишна опит в  консултирането на бизнеса за постигане на нормативното съответствие и въвеждането на нови регулаторни изисквания на европейско и национално ниво. Материалът има информативен характер и не следва да бъде тълкуван като правен съвет. При нужда от консултация или допълнителна информация по повод повдигнатите въпроси в настоящия материал, бихте могли да се свържете чрез https://murgova.com/

 

Статията е публикувана и в Колонката на Мургова и партньори в сайта на списание „твоят БИЗНЕС“.