|
31.1.2018 |
BG |
Официален вестник на Европейския съюз |
L 26/48 |
РЕГЛАМЕНТ ЗА ИЗПЪЛНЕНИЕ (ЕС) 2018/151 НА КОМИСИЯТА
от 30 януари 2018 година
за определяне на правила за прилагане на Директива (ЕС) 2016/1148 на Европейския парламент и на Съвета по отношение на допълнителното уточняване на елементите, които трябва да се вземат предвид от доставчиците на цифрови услуги при управлението на рисковете за сигурността на мрежите и информационните системи, както и на показателите за определяне на това дали даден инцидент има съществено въздействие
ЕВРОПЕЙСКАТА КОМИСИЯ,
като взе предвид Договора за функционирането на Европейския съюз,
като все предвид Директива (ЕС) 2016/1148 на Европейския парламент и на Съвета от 6 юли 2016 г. относно мерки за високо общо ниво на сигурност на мрежите и информационните системи в Съюза (1), и по-специално член 16, параграф 8 от нея,
като има предвид, че:
|
(1) |
В съответствие с Директива (ЕС) 2016/1148 доставчиците на цифрови услуги са свободни да предприемат технически и организационни мерки, които според тях са подходящи и пропорционални, за управление на риска за сигурността на техните мрежи и информационни системи, доколкото тези мерки осигуряват подходящо ниво на сигурност, като при това се отчитат предвидените в посочената директива елементи. |
|
(2) |
При определянето на подходящи и пропорционални технически и организационни мерки съответният доставчик на цифрови услуги следва да приложи систематичен и основан на риска подход към проблема за информационната сигурност. |
|
(3) |
С цел да се гарантира сигурността на системите и съоръженията доставчиците на цифрови услуги следва да въведат процедури за оценка и анализ. Тези дейности следва да се отнасят до систематичното управление на мрежите и информационните системи, физическата сигурност и сигурността на средата, сигурността на доставките и контрола на достъпа. |
|
(4) |
При анализа на риска в рамките на системното управление на мрежите и информационните системи доставчиците на цифрови услуги следва да бъдат насърчавани да установяват специфичните рискове и да изразяват количествено тяхното значение, например като определят заплахите за активите от първостепенно значение и начина, по който те могат да засегнат операциите, както и най-добрия начин за ограничаване на тези заплахи въз основа на съществуващите възможности и необходимите ресурси. |
|
(5) |
Политиките относно човешките ресурси биха могли да бъдат насочени към управлението на различни умения, включително аспекти, свързани с развитието на умения във връзка със сигурността, и към повишаването на осведомеността. При вземането на решение за подходящ набор от политики относно сигурността на операциите доставчиците на цифрови услуги следва да бъдат насърчавани да вземат под внимание аспектите, свързани с управлението на промените и на уязвимостта, формализирането на оперативните и административните практики и картографиране на системите. |
|
(6) |
Политиките относно архитектурата за сигурност биха могли да включват по-специално разделяне на мрежите и системите, както и специфични мерки за сигурност за особено важни операции, като например административните операции. Разделянето на мрежите и системите би могло да даде възможност на даден доставчик на цифрови услуги да разграничи един от друг различни елементи, като например потоци от данни и изчислителни ресурси, които принадлежат на клиент, група от клиенти, доставчика на цифрови услуги или трети страни. |
|
(7) |
Предприетите мерки по отношение на физическата сигурност и сигурността на средата следва да предпазват мрежите и информационните системи на съответната организация от вреди, причинени от различни инциденти, като например кражба, пожар, наводнение или други метеорологични явления, както и телекомуникационни повреди или прекъсвания на електрозахранването. |
|
(8) |
Сигурността на доставките, като например на електричество, гориво или енергия за охлаждане, би могла да обхваща сигурността на веригата на доставките, което включва по-специално сигурността на изпълнителите и подизпълнителите — трети страни, както и тяхното управление. Проследимостта на доставките от първостепенно значение се отнася до способността на доставчика на цифрови услуги да установи и документира източниците на тези доставки. |
|
(9) |
Ползвателите на цифрови услуги следва да обхващат физическите и юридическите лица, които са клиенти или абонати на онлайн място за търговия или компютърна услуга „в облак“, или посещават уебсайт на онлайн търсачка, за да извършат търсене по ключови думи. |
|
(10) |
При определянето на това доколко съществено е въздействието на даден инцидент, предвидените в настоящия регламент случаи следва да се разглеждат като неизчерпателен списък на съществени инциденти. Трябва да се извлекат поуки от изпълнението на настоящия регламент и от работата на групата за сътрудничество по отношение на събирането на информация за най-добри практики относно рисковете и инцидентите и на обсъжданията на правилата за докладване на уведомленията за инциденти, както е посочено в член 11, параграф 3, букви и) и м) от Директива (ЕС) 2016/1148. В резултат е възможно да бъдат изготвени подробни насоки относно количествените прагове на показателите за уведомяване, които могат да задействат задължението на доставчиците на цифрови услуги за уведомяване в съответствие с член 16, параграф 3 от Директива (ЕС) 2016/1148. Когато е целесъобразно, Комисията може също така да реши да преразгледа актуалните прагове, установени в настоящия регламент. |
|
(11) |
С цел да се даде възможност на компетентните органи да бъдат информирани за потенциални нови рискове, доставчиците на цифрови услуги следва да бъдат насърчавани доброволно да докладват за всички инциденти, чиито характеристики са им били неизвестни преди това, като например нови методи за проникване, вектори на атака, източник на заплахата, уязвими места и опасности. |
|
(12) |
Настоящият регламент следва да се прилага от деня, следващ изтичането на крайния срок за транспониране на Директива (ЕС) 2016/1148. |
|
(13) |
Мерките, предвидени в настоящия регламент, са в съответствие със становището на Комитета по сигурност на мрежите и информационните системи, посочен в член 22 от Директива (ЕС) 2016/1148, |
ПРИЕ НАСТОЯЩИЯ РЕГЛАМЕНТ:
Член 1
Предмет
С настоящия регламент допълнително се уточняват елементите, които трябва да се вземат предвид от доставчиците на цифрови услуги при определянето и предприемането на мерки за гарантиране на определено ниво на сигурност на мрежите и информационните системи, които те използват при предоставянето на услугите, посочени в приложение III към Директива (ЕС) 2016/1148, както и показателите, които трябва да се вземат предвид, за да се определи дали даден инцидент има съществено въздействие върху предоставянето на тези услуги.
Член 2
Елементи, свързани със сигурността
1. Сигурността на системите и съоръженията по член 16, параграф 1, буква а) от Директива (ЕС) 2016/1148 означава сигурността на мрежите и информационните системи и на тяхната физическа среда и включва следните елементи:
|
а) |
систематично управление на мрежите и информационните системи, което означава картографиране на информационните системи и създаването на набор от подходящи политики относно управлението на информационната сигурност, включително анализ на риска, човешки ресурси, сигурност на операциите, архитектура за сигурност, управление на жизнения цикъл на защитени данни и системи и когато е приложимо — криптиране и неговото управление; |
|
б) |
физическа сигурност и сигурност на средата, което означава наличието на набор от мерки за защита на мрежите и информационните системи на доставчиците на цифрови услуги от вреди, като се използва основан на риска подход, обхващащ всякакви видове опасности, в т.ч. повреда в системата, човешка грешка, злонамерени действия или природни явления; |
|
в) |
сигурност на доставките, което означава създаване и поддържане на подходящи политики, с цел да се гарантира достъпността и когато е приложимо — проследимостта на доставки от първостепенно значение за предоставянето на услугите; |
|
г) |
контрол на достъпа до мрежите и информационните системи, което означава наличие на набор от мерки, които гарантират, че физическият и логическият достъп до мрежите и информационните системи, включително административната сигурност на мрежите и информационните системи, са предмет на разрешение и са ограничени въз основа на стопанските изисквания и изискванията по отношение на сигурността. |
2. Относно действията при инциденти по член 16, параграф 1, буква б) от Директива (ЕС) 2016/1148 предприетите от съответния доставчик на цифрови услуги мерки трябва да включват:
|
а) |
процеси и процедури за откриване, които се поддържат и проверяват, за да се гарантира навременна и подходяща осведоменост за необичайни събития; |
|
б) |
процеси и политики относно докладването на инциденти и разкриването на слабости и уязвими места в неговите информационни системи; |
|
в) |
реагиране в съответствие с установените процедури и докладване на резултатите от предприетите мерки; |
|
г) |
оценка на сериозността на инцидента, документиране на наученото от анализа на инцидента и събиране на необходимата информация, която може да послужи като доказателство и да подкрепя процеса на непрекъснато подобряване. |
3. Управлението на непрекъснатостта на дейностите по член 16, параграф 1, буква в) от Директива (ЕС) 2016/1148 означава способността на дадена организация да запази или при необходимост да възстанови предоставянето на услуги на приемливи, предварително зададени нива след водещ до смущения инцидент и трябва да включва:
|
а) |
изготвяне и използване на планове за действие при извънредни ситуации въз основа на анализ на въздействието върху стопанската дейност, за да се гарантира непрекъснатост на услугите, предоставяни от доставчиците на цифрови услуги; плановете се оценяват и проверяват редовно, например чрез провеждане на учения; |
|
б) |
способности за възстановяване след бедствия, които се оценяват и проверяват редовно, например чрез провеждане на учения. |
4. Наблюдението, одитът и изпитването по член 16, параграф 1, буква г) от Директива (ЕС) 2016/1148 трябва да включват създаването и поддържането на политики относно:
|
а) |
провеждането на планирана поредица от наблюдения или измервания за преценка дали мрежите и информационните системи работят според предназначението си; |
|
б) |
инспектиране и контрол за проверка на изпълнението на изискванията по даден стандарт или набор от насоки, точността на записите и постигането на целите за ефикасността и ефективността; |
|
в) |
процес, предназначен да разкрива недостатъците в механизмите за сигурност на дадена мрежа и информационна система, които защитават данните и поддържат предвидената функционалност. Този процес трябва да включва техническите процеси и персонала, които имат отношение към експлоатационния поток. |
5. Международните стандарти по член 16, параграф 1, буква д) от Директива (ЕС) 2016/1148 означават стандарти, които са приети от международен орган по стандартизация, както е посочено в член 2, параграф 1, буква а) от Регламент (ЕС) № 1025/2012 на Европейския парламент и на Съвета (2). В съответствие с член 19 от Директива (ЕС) 2016/1148 могат да се използват и европейски или международно приети стандарти и спецификации от значение за сигурността на мрежите и информационните системи, включително съществуващи национални стандарти.
6. Доставчиците на цифрови услуги гарантират, че разполагат с подходяща документация, позволяваща на компетентния орган да провери спазването на посочените в параграфи 1, 2, 3, 4 и 5 елементи, свързани със сигурността.
Член 3
Показатели, които трябва да се вземат предвид, за да се определи дали въздействието на даден инцидент е съществено
1. Относно броя ползватели, засегнати от даден инцидент, и по-специално ползвателите, които разчитат на съответната услуга за предоставяне на собствените си услуги, както е посочено в член 16, параграф 4, буква а) от Директива (ЕС) 2016/1148, съответният доставчик на цифрови услуги трябва да бъде в състояние да изготви оценка за една от следните стойности:
|
а) |
броят на засегнатите физически и юридически лица, с които е сключен договор за предоставяне на услугата; или |
|
б) |
броят на засегнатите ползватели, използвали услугата, по-специално въз основа на данни за предишен трафик. |
2. Продължителността на даден инцидент по член 16, параграф 4, буква б) означава периодът от момента на прекъсване на нормалното предоставяне на съответната услуга, що се отнася до наличието, истинността, целостта или поверителността, до момента на възстановяване на предоставянето на услугата.
3. Относно географския обхват по отношение на областта, засегната от даден инцидент, по член 16, параграф 4, буква в) от Директива (ЕС) 2016/1148 съответният доставчик на цифрови услуги трябва да бъде в състояние да определи дали инцидентът засяга предоставянето на неговите услуги в конкретни държави членки.
4. Степента на нарушаване на функционирането на съответната услуга по член 16, параграф 4, буква г) от Директива (ЕС) 2016/1148 се измерва по отношение на една или повече от следните влошени от инцидента характеристики: наличие, истинност, цялост или поверителност на данните или свързаните с тях услуги.
5. Относно степента на въздействие върху стопанските и обществени дейности по член 16, параграф 4, буква д) от Директива (ЕС) 2016/1148 съответният доставчик на цифрови услуги трябва да бъде в състояние да формира заключение въз основа на различни показатели, като например естеството на договорните му отношения с клиента или, когато е уместно, потенциалния брой засегнати ползватели, дали инцидентът е причинил значителни материални или нематериални щети за ползвателите, като например във връзка със здравето, безопасността или имуществени вреди.
6. За целите на параграфи 1, 2, 3, 4 и 5 от доставчиците на цифрови услуги не се изисква да събират допълнителна информация, до която те нямат достъп.
Член 4
Съществено въздействие на даден инцидент
1. Счита се, че даден инцидент има съществено въздействие, когато е изпълнено поне едно от следните условия:
|
а) |
услугата, предоставяна от даден доставчик на цифрови услуги, не е била налична за повече от 5 000 000 ползвателски часа, при което понятието „ползвателски час“ означава броят на засегнатите ползватели в Съюза в продължение на шестдесет минути; |
|
б) |
инцидентът се е отразил неблагоприятно на целостта, истинността и поверителността на съхранявани, предавани или обработвани данни или на свързаните с тях услуги, предлагани от даден доставчик на цифрови услуги или достъпни посредством негова мрежа и информационна система, като са засегнати повече от 100 000 ползватели в Съюза; |
|
в) |
инцидентът е породил риск за обществената безопасност и обществената сигурност или е застрашил човешки живот; |
|
г) |
инцидентът е причинил материални щети на поне един ползвател в Съюза, като причинените на този ползвател щети надвишават 1 000 000 евро. |
2. Като се основава на най-добрите практики, събрани от групата за сътрудничество при изпълнението на нейните задачи по член 11, параграф 3 от Директива (ЕС) 2016/1148, и на обсъжданията по член 11, параграф 3, буква м) от посочената директива, Комисията може да преразглежда определените в параграф 1 прагове.
Член 5
Влизане в сила
1. Настоящият регламент влиза в сила на двадесетия ден след деня на публикуването му в Официален вестник на Европейския съюз.
2. Той се прилага от 10 май 2018 г.
Настоящият регламент е задължителен в своята цялост и се прилага пряко във всички държави членки.
Съставено в Брюксел на 30 януари 2018 година.
За Комисията
Председател
Jean-Claude JUNCKER
(1) ОВ L 194, 19.7.2016 г., стр. 1.
(2) Регламент (ЕС) № 1025/2012 на Европейския парламент и на Съвета от 25 октомври 2012 г. относно европейската стандартизация, за изменение на директиви 89/686/ЕИО и 93/15/ЕИО на Съвета и на директиви 94/9/ЕО, 94/25/ЕО, 95/16/ЕО, 97/23/ЕО, 98/34/ЕО, 2004/22/ЕО, 2007/23/ЕО, 2009/23/ЕО и 2009/105/ЕО на Европейския парламент и на Съвета и за отмяна на Решение 87/95/ЕИО на Съвета и на Решение № 1673/2006/ЕО на Европейския парламент и на Съвета (ОВ L 316, 14.11.2012 г., стр. 12).