+ 359 89 430 0484 / office@murgova.com

Новите предизвикателства пред бизнеса във връзка с Директива NIS 2

Новите предизвикателства пред бизнеса във връзка с Директива NIS 2
ноември 28, 2024 Силвана Джаркова

На 17.10.2024 изтече срокът, който Директива (ЕС) 2022/2555, позната като NIS 2, даваше на държавите членки да транспонират в националните си законодателства новите изисквания във връзка с осигуряване на киберсигурност. България и още немалко държави не успяха да проведат всички национални етапи по изготвяне и одобряване на съответните законодателни норми. Въпреки това бизнесът трябва да насочи внимание към своята подготовка за новите изисквания и да предприеме действия за гарантиране на своята устойчивост, в контекста на все по-засилващата се роля на мрежовите и информационни системи.

Директива NIS 2 (съкращение от Network and Information Systems) се основава на първоначалната Директива за мрежовите и информационните системи, която бе приета още през 2016 г. С новите редакции значително се разширява обхватът, като Директивата вече засяга повече сектори и въвежда по-строги надзорни мерки. NIS 2 може да бъде определена като значителен напредък в законодателството на европейско ниво в областта на киберсигурността. Директивата има за цел да подобри цялостното състояние на киберсигурността на ЕС, чрез подобряване на устойчивостта и сигурността на критичната инфраструктура, цифровите услуги и мрежи в държавите членки. Това се постига чрез определяне на по-високи стандарти за сигурност и утвърждаване на стабилни механизми за докладване на инциденти, като се измества фокусът към един по-всеобхватен подход при управлението на рисковете за киберсигурността.

Основните цели на Директива NIS 2 включват:

  • Осигуряване на защита на критичната инфраструктура и услугите от съществено значение от постоянно нарастващия брой киберзаплахи;
  • Осигуряване на високо общо ниво на киберсигурност на територията на ЕС;
  • Засилване на сътрудничеството между държавите членки;
  • Установяване на ефективна рамка за реагиране на инциденти.

Съществена промяна е налице в определянето на засегнатите лица спрямо действащия до момента подход. Директива NIS 2 очертава секторите и различните образувания, които имат значително влияние върху дигиталната сфера и киберсигурността в ЕС, като се акцентира на необходимостта от привеждане в съответствие с общностен подход сред различните индустриални сектори и разграничаване на отговорностите между частния и публичния сектор. Това се постига чрез разделянето им на две категории: 1) Сектори с висока степен на критичност и 2) Други критични сектори.

Прилага се критерий за размер, който изключва микро и малките предприятия от обхвата на Директивата, като в обхвата попада всяко средно и голямо предприятие – компании с поне 50 служители или с годишен оборот над 10 млн. евро. Директивата обаче предвижда и редица изключения, като дружества могат да бъдат засегнати лица дори и ако не покриват критерия за размер.

Директивата разделя засегнатите лица на Съществени субекти (Essential subjects) и Важни субекти (Important subjects), спрямо различни специфики, приложими към конкретното дружество.

Секторите с висока степен на критичност включват енергетика, транспорт, банков сектор, инфраструктура на финансови пазари, здравеопазване, питейна и отпадъчна вода, цифрова инфраструктура, управление на услуги в областта на информационни и комуникационни технологии, публична администрация и космическо пространство.

Категорията на други критични сектори включва пощенски и куриерски услуги, управление на отпадъците, производство, изготвяне и дистрибуция на химикали, доставчици на цифрови услуги,  производство на медицински изделия, компютри, електронни и оптични продукти, електрически съоръжения, както и на машини и оборудване, моторни превозни средства и друго транспортно оборудване и научноизследователски организации.

Основно задължение на засегнатите лица е предприемане на подходящи и пропорционални технически, оперативни и организационни мерки за управление на рисковете за сигурността на мрежовите и информационните системи. Това включва множество и разнообразни действия, като например: изготвяне на политики за анализ на риска и сигурност на информационните системи, подсигуряване на непрекъснатост на стопанската дейност, сигурност на човешките ресурси, политики за контрол на достъпа и управление на активи, използването на многофакторни решения за удостоверяване на автентичността, действия при инциденти и много други.

Важно място сред новите изисквания към засегнатите лица е идентифицирането на инциденти и тяхното докладване. За значителните инциденти субектите ще трябва да извършват ранно предупреждение – „без ненужно забавяне“ в рамките на 24 часа, както и последващо уведомление – „без ненужно забавяне“ в рамките на 72 часа. Уведомяването следва да се извършва до специално създадени от държавите членки екипи за реагиране при инциденти с компютърната сигурност. Възможно е за някои случаи да се изисква и уведомяване на получателите на услугите, което дружествата се очаква да могат да подсигурят.

Новата нормативна рамка предвижда и сериозни санкции в случаи на нарушения. За съществените субекти се предвиждат глоби в размер до 10 млн. евро или най-малко 2% от общия световен годишен оборот, докато за важните субекти – глоби в размер до 7 млн. евро или 1.4% от общия световен годишен оборот. Предвиждат се и санкции за физическите лица, представляващи дружествата, ако не са изпълнили своите задължения като управителен орган за осигуряване на необходимите нива на киберсигурност.

В България все още се очаква разглеждането от Народното събрание на внесения Законопроектът за изменение и допълнение на Закона за киберсигурност, за да може да се направи пълна оценка на обхвата и изискванията към засегнатите лица. Директивата NIS 2 дава известна свобода на държавите членки да надградят изискванията и да предвидят допълнителни мерки в националните си законодателства, включително и допълването на засегнатите лица с вече идентифицирани от държавата дружества, част от критичната на местно ниво инфраструктура.

Екипът на Адвокатско дружество „Мургова и партньори“ притежава дългогодишна експертиза и богат опит в областите на търговското право, административно право, нормативно съответствие с различни регулации и процесуално представителство. Практиката ни е насочена, както към цялостно консултиране по отношение на търговската дейност и проектите на наши клиенти, включително изготвянето на всички вътрешни документи във връзка с действащи регулации, така и процесуално представителство пред всички съдебни инстанции. Материалът има информативен характер и не следва да бъде тълкуван като правен съвет. При нужда от консултация или допълнителна информация по повод повдигнатите въпроси в настоящия материал, бихте могли да се свържете с нас чрез https://murgova.com/