Киберсигурност на мрежите и информационните системи (2022 г.)

 

РЕЗЮМЕ НА:

Директива (ЕС) 2022/2555 относно мерки за високо общо ниво на киберсигурност в ЕС

КАКВА Е ЦЕЛТА НА ДИРЕКТИВАТА?

С директивата, известна като МИС 2, се установява обща регулаторна рамка за киберсигурността с цел повишаване на нивото на киберсигурността в Европейския съюз (ЕС), като се изисква от държавите — членки на ЕС, да укрепят способностите си за киберсигурност, и се въвеждат мерки за управление на риска в областта на киберсигурността и докладване в критични сектори, заедно с правила за сътрудничество, обмен на информация, надзор и правоприлагане.

ОСНОВНИ АСПЕКТИ

Киберсигурността се отнася до дейностите, необходими за защита на мрежите и информационните системи, потребителите на такива системи и други лица, засегнати от киберзаплахи.

Критични сектори

Директивата се прилага главно за средни и големи субекти, които извършват дейност в следните сектори с висока степен на критичност, както са определени в приложение I:

• енергетиката:
  • електроенергия, включително производствени, разпределителни и преносни системи и зарядни точки;
  • районно отопление и охлаждане;
  • нефт, включително тръбопроводи за производство, съхранение и пренос;
  • газ, включително системи за доставка, разпределение и пренос и съхранение; и
  • водород;
• транспорт: въздушен, железопътен, воден и автомобилен транспорт;
• банкови инфраструктури и инфраструктури на финансови пазари, като кредитни институции, оператори на места за търговия и централни контрагенти;
• здравеопазване, включително доставчици на здравни услуги, производители на основни фармацевтични продукти и медицински изделия от критично значение и референтни лаборатории на ЕС;
• питейна вода;
• отпадъчни води;
• цифрова инфраструктура, включително доставчици на услуги за центрове за данни, изчислителни услуги в облак, обществени електронни съобщителни мрежи и обществено достъпни електронни съобщителни услуги;
• управление на услуги в областта на ИКТ (услуги между предприятия);
• космос;
• публичната администрация на централно и регионално ниво, с изключение на съдебната система, парламентите и централните банки, въпреки че не се прилага за субекти на публичната администрация, които извършват дейности в областта на националната сигурност, обществената сигурност, отбраната или правоприлагането.

Прилага се и за други критични сектори, както са определени в приложение II:

• пощенски и куриерски услуги;
• управление на отпадъците;
• производство, изготвяне и дистрибуция на химикали;
• производство, преработка и дистрибуция на храни;
• производство, по-специално на медицински изделия, компютърни, електронни и оптични продукти, някои видове електрически съоръжения и машини, моторни превозни средства и друго транспортно оборудване;
• доставчици на цифрови услуги: доставчици на онлайн места за търговия, търсачки и социални мрежи; и
• научноизследователски организации.

Национална стратегия за киберсигурност

Всяка държава членка трябва да приеме национална стратегия за постигане и поддържане на високо ниво на киберсигурност в критичните сектори, включително:

• рамка за управление, изясняваща ролите и отговорностите на съответните заинтересовани страни на национално равнище;
• политики, насочени към сигурността на веригите на доставки;
• политики за управление на уязвимостите;
• политики за насърчаване и развитие на образованието и обучението в областта на киберсигурността; и
• мерки за подобряване на осведомеността относно киберсигурността сред гражданите.

Държавите членки трябва да изготвят списък на основните и важни субекти, както и на субектите, предоставящи услуги за регистрация на имена на домейни, до 17 април 2025 г. Те трябва да преглеждат и, когато е уместно, да актуализират този списък редовно и най-малко на всеки 2 години след това. Европейската комисия прие насоки относно информацията, която трябва да бъде събрана при изготвянето на тези списъци, заедно с образец за това.

Комисията също така издаде насоки, изясняващи правилата относно връзката между Директива (ЕС) 2022/2555 и настоящите и бъдещите секторни правни актове на ЕС, насочени към мерките за управление на риска за киберсигурността или изискванията за докладване на инциденти. Допълнението към насоките съдържа неизчерпателен списък на специфичните за сектора правни актове, които Комисията счита, че попадат в обхвата на Директива (ЕС) 2022/2555.

Екипи за реагиране при инциденти с компютърната сигурност

Екипите за реагиране при инциденти с компютърната сигурност (ЕРИКС) предоставят техническа помощ на субектите, включително чрез:

• наблюдение и анализ на киберзаплахите, уязвимостите и инцидентите на национално равнище;
• подаване на ранни предупреждения, сигнали за тревога, съобщения и информация до засегнатите субекти и други заинтересовани страни относно киберзаплахи, уязвимости и инциденти, ако е възможно в почти реално време;
• реагиране при инциденти и предоставяне на помощ, когато е приложимо;
• събиране и анализиране на криминалистични данни и осигуряване на динамичен анализ на рисковете и инцидентите и ситуационна осведоменост за киберсигурността; и
• предоставяне при поискване на проактивно сканиране на мрежовите и информационните системи с цел откриване на уязвимости с потенциално значително въздействие.

Мрежа на ЕРИКС

С директивата се създава мрежа от национални ЕРИКС с цел насърчаване на бързото и ефективно оперативно сътрудничество.

Координирано оповестяване на уязвимости

Държавите членки трябва:

• да определят един от своите ЕРИКС, който да координира оповестяването на уязвимости, открити при ИКТ продукти или услуги; и
• да гарантират, че физическите лица в държавите членки могат да докладват за уязвимости анонимно, ако това бъде поискано.

Агенцията на Европейския съюз за киберсигурност (ENISA) ще разработи и поддържа база данни за уязвимостите.

Група за сътрудничество

С директивата се създава група за сътрудничество, която да подпомага и улеснява стратегическото сътрудничество и обмена на информация. Тя се състои от представители на държавите членки, Комисия и ENISA. Когато е целесъобразно, групата за сътрудничество може да покани Европейския парламент и представители на съответните заинтересовани страни да участват в нейната работа.

Европейска мрежа за връзка на организациите при киберкризи

Европейската мрежа за връзка на организациите при киберкризи (EU-CyCLONe) е мрежа, включваща представители на органите за управление на киберкризи на държавите членки, както и на Комисията, в случаите, когато потенциален или текущ инцидент, свързан с киберсигурността, има или е вероятно да окаже значително въздействие върху секторите, обхванати от директивата. В други случаи Комисията ще участва в дейностите на мрежата като наблюдател.

Мрежата подкрепя координираното управление на широкомащабни инциденти и кризи в областта на киберсигурността на оперативно равнище и осигурява редовен обмен на информация между държавите членки и институциите, органите и агенциите на ЕС.

Наред с другото, мрежата има следните задачи:

• координиране на управлението на широкомащабни инциденти и кризи в областта на киберсигурността и подпомагане на вземането на решения на политическо равнище;
• повишаване на готовността;
• развитие на споделена ситуационна осведоменост; и
• оценка на последиците и въздействието от широкомащабни инциденти и кризи в областта на киберсигурността и предлагане на възможни мерки за смекчаване на последиците.

Докладване

Субектите трябва да уведомят своя ЕРИКС или съответния орган за всеки инцидент, който:

• може да причини или е в състояние да причини сериозни оперативни смущения или финансови загуби за субекта;
• е засегнал или може да засегне други хора, като е причинил значителни материални или нематериални щети.

Освен това ENISA ще изготви, в сътрудничество с Комисията и групата за сътрудничество, двугодишен доклад относно състоянието на киберсигурността в ЕС, който също ще бъде представен на Парламента.

Надзор и изпълнение

Директивата предвижда средства за правна защита и санкции, за да се гарантира изпълнението.

Партньорски проверки

Партньорските проверки са въведени с цел да се извлекат поуки от споделения опит, да се укрепва взаимното доверие, да се постигне високо общо равнище на киберсигурност и да се подобрят способностите и политиките на държавите членки в областта на киберсигурността, необходими за прилагането на настоящата директива. Тези проверки включват физически или виртуални посещения на място и дистанционен обмен на информация. Участието в тези партньорски проверки е доброволно.

ОТКОГА СЕ ПРИЛАГАТ ПРАВИЛАТА?

Директивата трябва да бъде транспонирана в националното законодателство до 17 октомври 2024 г. Нейните правила следва да се прилагат от 18 октомври 2024 г.

ОБЩА ИНФОРМАЦИЯ

Директивата е отменена с Директива (ЕС) 2016/1148 (вж. резюмето), считано от 18 октомври 2024 г.

За допълнителна информация вж.:

• Киберсигурност (Европейска комисия)
• Киберсигурност:как ЕС се бори с киберзаплахите (Европейски съвет — Съвет на Европейския съюз)
• Как ЕС реагира на кризи и изгражда издръжливост (Европейски съвет — Съвет на Европейския съюз)
• Цифрово бъдеще за Европа (Европейски съвет — Съвет на Европейския съюз).

ОСНОВЕН ДОКУМЕНТ

Директива (ЕС) 2022/2555 на Европейския парламент и на Съвета от 14 декември 2022 година относно мерки за високо общо ниво на киберсигурност в Съюза, за изменение на Регламент (ЕС) № 910/2014 и Директива (ЕС) 2018/1972 и за отмяна на Директива (ЕС) 2016/1148 (Директива МИС 2) (ОВ L 333, 27.12.2022 г., стр. 80—152).

Последващите изменения на Директива (ЕС) 2022/2555 са включени в първоначалния текст. Тази консолидирана версия е само за документална справка.

СВЪРЗАНИ ДОКУМЕНТИ

Съобщение на Комисията — Насоки на Комисията за прилагане на член 3, параграф 4 от Директива (ЕС) 2022/2555 (Директива МИС 2) 2023/C 324/02 (ОВ L 324, 14.9.2023 г., стр. 2—7).

Съобщение на Комисията — Насоки на Комисията за прилагане на член 4, параграфи 1 и 2 от Директива (ЕС) 2022/2555 (Директива МИС 2) 2023/C 328/02 (ОВ L 328, 18.9.2023 г., стр. 2—10).

Регламент (ЕС) 2022/2554 на Европейския парламент и на Съвета от 14 декември 2022 година относно оперативната устойчивост на цифровите технологии във финансовия сектор и за изменение на регламенти (ЕО) № 1060/2009, (ЕС) № 648/2012, (ЕС) № 600/2014, (ЕС) № 909/2014 и (ЕС) 2016/1011 (ОВ L 333, 27.12.2022 г., стр. 1—79).

Директива (ЕС) 2022/2557 на Европейския парламент и на Съвета от 14 декември 2022 година за устойчивостта на критичните субекти и за отмяна на Директива 2008/114/ЕО на Съвета (ОВ L 333, 27.12.2022 г., стр. 164—198).

Регламент (ЕС) 2021/696 на Европейския парламент и на Съвета от 28 април 2021 година за създаване на космическа програма на Съюза и Агенция на Европейския съюз за космическата програма и за отмяна на регламенти (ЕС) № 912/2010, (ЕС) № 1285/2013 и (ЕС) № 377/2014 и на Решение № 541/2014/ЕС (ОВ L 170, 12.5.2021 г., стр. 69—148).

Регламент (ЕС) 2021/694 на Европейския парламент и на Съвета от 29 април 2021 година за създаване на програмата „Цифрова Европа“ и за отмяна на Решение (ЕС) 2015/2240 (ОВ L 166, 11.5.2021 г., стр. 1—34).

Вж. консолидираната версия.

Регламент (ЕС) 2019/881 на Европейския парламент и на Съвета от 17 април 2019 година относно ENISA (Агенцията на Европейския съюз за киберсигурност) и сертифицирането на киберсигурността на информационните и комуникационните технологии, както и за отмяна на Регламент (ЕС) № 526/2013 (Акт за киберсигурността) (ОВ L 151, 7.6.2019 г., стр. 15—69).

Препоръка (ЕС) 2019/534 на Комисията от 26 март 2019 година — Киберсигурност на 5G мрежите (ОВ L 88, 29.3.2019 г., стр. 42—47).

Регламент (ЕС) 2018/1139 на Европейския парламент и на Съвета от 4 юли 2018 година относно общи правила в областта на гражданското въздухоплаване и за създаването на Агенция за авиационна безопасност на Европейския съюз и за изменение на регламенти (ЕО) № 2111/2005, (ЕО) № 1008/2008, (ЕС) № 996/2010, (ЕС) № 376/2014 и на директиви 2014/30/ЕС и 2014/53/ЕС на Европейския парламент и на Съвета и за отмяна на регламенти (ЕО) № 552/2004 и (ЕО) № 216/2008 на Европейския парламент и на Съвета и Регламент (ЕИО) № 3922/91 на Съвета (OВ L 212, 22.8.2018 г., стр. 1—122).

Вж. консолидираната версия.

Решение за изпълнение (ЕС) 2018/1993 на Съвета от 11 декември 2018 година относно договорености за интегрирана реакция на ЕС при политическа криза (ОВ L 320, 17.12.2018 г., стр. 28—34).

Директива (EС) 2018/1972 на Европейския парламент и на Съвета от 11 декември 2018 година за установяване на Европейски кодекс за електронни съобщения (преработена) (OВ L 321, 17.12.2018 г., стр. 36—214).

Вж. консолидираната версия.

Препоръка (ЕС) 2017/1584 на Комисията от 13 септември 2017 година относно координирана реакция на мащабни киберинциденти и кризи (ОВ L 239, 19.9.2017 г., стр. 36—58).

Регламент (EС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните) (ОВ L 119, 4.5.2016 г., стр. 1—88).

Вж. консолидираната версия.

Регламент (ЕС) № 910/2014 на Европейския парламент и на Съвета от 23 юли 2014 година относно електронната идентификация и удостоверителните услуги при електронни трансакции на вътрешния пазар и за отмяна на Директива 1999/93/ЕО (ОВ L 257, 28.8.2014 г., стр. 73—114).

Директива 2013/40/ЕС на Европейския парламент и на Съвета от 12 август 2013 година относно атаките срещу информационните системи и за замяна на Рамково решение 2005/222/ПВР на Съвета (ОВ L 218, 14.8.2013 г., стр. 8—14).

Решение № 1313/2013/EС на Европейския парламент и на Съвета от 17 декември 2013 година относно Механизъм за гражданска защита на Съюза (ОB L 347, 20.12.2013 г., стр. 924—947).

Вж. консолидираната версия.

Директива 2011/93/ЕС на Европейския парламент и на Съвета от 13 декември 2011 година относно борбата със сексуалното насилие и със сексуалната експлоатация на деца, както и с детската порнография и за замяна на Рамково решение 2004/68/ПВР на Съвета (ОВ L 335, 17.12.2011 г., стр. 1—14).

Вж. консолидираната версия.

Регламент (ЕО) № 300/2008 на Европейския парламент и на Съвета от 11 март 2008 година относно общите правила в областта на сигурността на гражданското въздухоплаване и за отмяна на Регламент (ЕО) № 2320/2002 (ОВ L 97, 9.4.2008 г., стр. 72—84).

Вж. консолидираната версия.

Директива 2002/58/ЕО на Европейския парламент и на Съвета от 12 юли 2002 година относно обработката на лични данни и защита на правото на неприкосновеност на личния живот в сектора на електронните комуникации (Директива за правото на неприкосновеност на личния живот и електронни комуникации) (ОВ L 201, 31.7.2002 г., стр. 37—47).

Вж. консолидираната версия.

последно актуализация 03.05.2024