С Директива (ЕС) 2022/2555, известна като МИС 2, се установява обща регулаторна рамка за киберсигурността с цел повишаване на нивото на киберсигурността в Европейския съюз (ЕС), като се изисква от държавите — членки на ЕС, да укрепят способностите си за киберсигурност, и да въведат мерки за управление на риска в областта на киберсигурността и докладване в критични сектори, заедно с правила за сътрудничество, обмен на информация, надзор и правоприлагане.
ОСНОВНИ АСПЕКТИ
Киберсигурността се отнася до дейностите, необходими за защита на мрежите и информационните системи, потребителите на такива системи и други лица, засегнати от киберзаплахи.
Критични сектори
Директивата се прилага главно за средни и големи субекти, които извършват дейност в следните сектори с висока степен на критичност, както са определени в приложение I:
енергетика:
електроенергия, включително производствени, разпределителни и преносни системи и зарядни точки;
районно отопление и охлаждане;
нефт, включително тръбопроводи за производство, съхранение и пренос;
газ, включително системи за доставка, разпределение и пренос и съхранение; и
водород;
транспорт: въздушен, железопътен, воден и автомобилен транспорт;
банкови инфраструктури и инфраструктури на финансови пазари, като кредитни институции, оператори на места за търговия и централни контрагенти;
здравеопазване, включително доставчици на здравни услуги, производители на основни фармацевтични продукти и медицински изделия от критично значение и референтни лаборатории на ЕС;
питейна вода;
oтпадъчни води;
цифрова инфраструктура, включително доставчици на услуги за центрове за данни, изчислителни услуги в облак, обществени електронни съобщителни мрежи и обществено достъпни електронни съобщителни услуги;
управление на услуги в областта на ИКТ (услуги между предприятия);
космос;
публичната администрация на централно и регионално ниво, с изключение на съдебната система, парламентите и централните банки, въпреки че директивата не се прилага за субекти на публичната администрация, които извършват дейности в областта на националната сигурност, обществената сигурност, отбраната или правоприлагането.
Прилага се и за други критични сектори, както са определени в приложение II:
пощенски и куриерски услуги;
управление на отпадъците;
производство, изготвяне и дистрибуция на химикали;
производство, преработка и дистрибуция на храни;
производство, по-специално на медицински изделия, компютърни, електронни и оптични продукти, някои видове електрически съоръжения и машини, моторни превозни средства и друго транспортно оборудване;
доставчици на цифрови услуги: доставчици на онлайн места за търговия, търсачки и социални мрежи; и
научноизследователски организации.
Национална стратегия за киберсигурност
Всяка държава членка трябва да приеме национална стратегия за постигане и поддържане на високо ниво на киберсигурност в критичните сектори, включително:
рамка за управление, изясняваща ролите и отговорностите на съответните заинтересовани страни на национално равнище;
политики, насочени към сигурността на веригите на доставки;
политики за управление на уязвимостите;
политики за насърчаване и развитие на образованието и обучението в областта на киберсигурността; и
мерки за подобряване на осведомеността относно киберсигурността сред гражданите.
Държавите членки трябва да изготвят списък на основните и важни субекти, както и на субектите, предоставящи услуги за регистрация на имена на домейни, до г. Те трябва да преглеждат и, когато е уместно, да актуализират този списък редовно и най-малко на всеки две години след това. Европейската комисия прие насоки относно информацията, която трябва да бъде събрана при изготвянето на тези списъци, заедно с образец за това.
Комисията също така издаде насоки, изясняващи правилата относно връзката между Директива (ЕС) 2022/2555 и настоящите и бъдещите секторни правни актове на ЕС, насочени към мерките за управление на риска за киберсигурността или изискванията за докладване на инциденти. Допълнението към насоките съдържа неизчерпателен списък на специфичните за сектора правни актове, които Комисията счита, че попадат в обхвата на член 4 от Директива (ЕС) 2022/2555.
Екипите за реагиране при инциденти с компютърната сигурност (ЕРИКС) предоставят техническа помощ на субектите, включително чрез:
наблюдение и анализ на киберзаплахите, уязвимостите и инцидентите на национално равнище;
подаване на ранни предупреждения, сигнали за тревога, съобщения и информация до засегнатите субекти и други заинтересовани страни относно киберзаплахи, уязвимости и инциденти, ако е възможно в почти реално време;
реагиране при инциденти и предоставяне на помощ, когато е приложимо;
събиране и анализиране на криминалистични данни и осигуряване на динамичен анализ на рисковете и инцидентите и ситуационна осведоменост за киберсигурността; и
предоставяне при поискване на проактивно сканиране на мрежовите и информационните системи с цел откриване на уязвимости с потенциално значително въздействие.
Мрежа на ЕРИКС
С директивата се създава мрежа от национални ЕРИКС с цел насърчаване на бързото и ефективно оперативно сътрудничество.
С директивата се създава група за сътрудничество, която да подпомага и улеснява стратегическото сътрудничество и обмена на информация. Тя се състои от представители на държавите членки, Комисия и ENISA. Когато е целесъобразно, групата за сътрудничество може да покани Европейския парламент и представители на съответните заинтересовани страни да участват в нейната работа.
Европейската мрежа за връзка на организациите при киберкризи (EU-CyCLONe) включва представители на органите за управление на киберкризи на държавите членки, както и на Комисията, в случаите, когато потенциален или текущ широкомащабен инцидент, свързан с киберсигурността, има или е вероятно да окаже значително въздействие върху секторите, обхванати от директивата. В други случаи Комисията ще участва в дейностите на мрежата като наблюдател.
Мрежата подкрепя координираното управление на широкомащабни инциденти и кризи в областта на киберсигурността на оперативно равнище и осигурява редовен обмен на информация между държавите членки и институциите, органите, службите и агенциите на ЕС.
Наред с другото, мрежата има следните задачи:
координиране на управлението на широкомащабни инциденти и кризи в областта на киберсигурността и подпомагане на вземането на решения на политическо равнище;
повишаване на готовността;
развитие на споделена ситуационна осведоменост; и
оценка на последиците и въздействието от широкомащабни инциденти и кризи в областта на киберсигурността и предлагане на възможни мерки за смекчаване на последиците.
Mерки за управление на рисковете за киберсигурността
Субектите трябва да предприемат подходящи и пропорционални технически, оперативни и организационни мерки за управление на риска за киберсигурността. Каталогът от мерки включва, наред с другото, политики за анализ на риска и сигурността на информационната система, управление на инциденти, непрекъснатост на стопанската дейност, възстановяване при бедствия и управление на кризи, сигурност на веригата за доставки, обработка и разкриване на уязвимости, основни хигиенни практики, политики и процедури по отношение на използването на криптография (и криптиране, когато е целесъобразно), сигурност на човешките ресурси и използване на многофакторни решения за удостоверяване на автентичността или непрекъснато удостоверяване на автентичността. Тези мерки трябва да се основават на подход, обхващащ всички опасности.
Управителните органи трябва да одобрят тези мерки и да контролират тяхното прилагане и могат да бъдат подведени под отговорност за нарушения.
Докладване
Субектите трябва да уведомят своя ЕРИКС или съответния орган за всеки инцидент, който:
е причинил или е в състояние да причини сериозни оперативни смущения или финансови загуби за субекта;
е засегнал или може да засегне други хора, като е причинил значителни материални или нематериални щети.
Освен това ENISA ще изготви, заедно с Комисията и групата за сътрудничество, двугодишен доклад относно състоянието на киберсигурността в ЕС, който също ще бъде представен на Парламента.
Надзор и изпълнение
Директивата предвижда средства за правна защита и санкции, за да се гарантира изпълнението.
Партньорски проверки
Партньорските проверки са въведени с цел да се извлекат поуки от споделения опит, да се укрепва взаимното доверие, да се постигне високо общо равнище на киберсигурност и да се подобрят способностите и политиките на държавите членки в областта на киберсигурността, необходими за прилагането на настоящата директива. Тези проверки включват физически или виртуални посещения на място и дистанционен обмен на информация. Участието в тези партньорски проверки е доброволно.
С Регламент за изпълнение (ЕС) 2024/2690 се определят правила за прилагане на Директива (ЕС) 2022/2555 по отношение на техническите и методологичните изисквания на мерките за управление на риска за киберсигурността и допълнително се уточняват случаите, в които даден инцидент се счита за значителен по отношение на:
доставчици на системни услуги за имена на домейни,
регистри на имена на домейни от първо ниво,
доставчиците на компютърни услуги „в облак“,
доставчиците на услуги на центрове за данни;
доставчиците на мрежи за доставяне на съдържание;
доставчиците на управлявани услуги;
доставчиците на управлявани услуги за сигурност;
доставчиците на онлайн места за търговия, на онлайн търсачките и на платформите на услуги за социални мрежи; и
доставчиците на удостоверителни услуги.
Отмяна
Директива (ЕС) 2022/2555 отменя Директива (ЕС) 2016/1148 (вж. резюмето), считано от г., а Регламент за изпълнение (ЕС) 2024/2690 отменя Регламент за изпълнение (ЕС) 2018/151, който определя правилата за прилагане на Директива (ЕС) 2016/1148.
ОТКОГА СЕ ПРИЛАГАТ ПРАВИЛАТА?
Директивата трябваше да бъде транспонирана в националното законодателство до г. Правилата се прилагат от г.
Директива (ЕС) 2022/2555 на Европейския парламент и на Съвета от година относно мерки за високо общо ниво на киберсигурност в Съюза, за изменение на Регламент (ЕС) № 910/2014 и Директива (ЕС) 2018/1972 и за отмяна на Директива (ЕС) 2016/1148 (Директива МИС 2) (ОВ L 333, г., стр. 80—152).
Последващите изменения на Директива (ЕС) 2022/2555 са включени в първоначалния текст. Тази консолидирана версия е само за документална справка.
СВЪРЗАНИ ДОКУМЕНТИ
Регламент за изпълнение (ЕС) 2024/2690 на Комисията от година зза определяне на правила за прилагане на Директива (ЕС) 2022/2555 по отношение на техническите и методологичните изисквания относно мерките за управление на риска в областта на киберсигурността и за доуточняване на случаите, в които даден инцидент се счита за значителен по отношение на доставчиците на DNS услуги, регистрите на имена на домейни от първо ниво, доставчиците на компютърни услуги „в облак“, доставчиците на услуги на центрове за данни, доставчиците на мрежи за доставяне на съдържание, доставчиците на управлявани услуги, доставчиците на управлявани услуги за сигурност, доставчиците на онлайн места за търговия, на онлайн търсачките и на платформите на услуги за социални мрежи и доставчиците на удостоверителни услуги (ОВ L, 2024/2690, г.).
Съобщение на Комисията — Насоки на Комисията за прилагане на член 3, параграф 4 от Директива (ЕС) 2022/2555 (Директива МИС 2) 2023/C 324/02 (ОВ L 324, г., стр. 2—7).
Съобщение на Комисията — Насоки на Комисията за прилагане на член 4, параграфи 1 и 2 от Директива (ЕС) 2022/2555 (Директива МИС 2) 2023/C 328/02 (ОВ L 328, г., стр. 2—10).
Регламент (ЕС) 2022/2554 на Европейския парламент и на Съвета от относно оперативната устойчивост на цифровите технологии във финансовия сектор и за изменение на регламенти (ЕО) № 1060/2009, (ЕС) № 648/2012, (ЕС) № 600/2014, (ЕС) № 909/2014 и (ЕС) 2016/1011 (ОВ L 333, , стр. 1—79).
Директива (ЕС) 2022/2557 на Европейския парламент и на Съвета от година за устойчивостта на критичните субекти и за отмяна на Директива 2008/114/ЕО на Съвета (ОВ L 333, г, стр. 164—198).
Регламент (ЕС) 2021/696 на Европейския парламент и на Съвета от година за създаване на космическа програма на Съюза и Агенция на Европейския съюз за космическата програма и за отмяна на регламенти (ЕС) № 912/2010, (ЕС) № 1285/2013 и (ЕС) № 377/2014 и на Решение № 541/2014/ЕС (ОВ L 170, г., стр. 69—148).
Регламент (ЕС) 2021/694 на Европейския парламент и на Съвета от за създаване на програмата „Цифрова Европа“ и за отмяна на Решение (ЕС) 2015/2240 (ОВ L 166, , стр. 1—34).
Регламент (ЕС) 2019/881 на Европейския парламент и на Съвета от относно ENISA (Агенцията на Европейския съюз за киберсигурност) и сертифицирането на киберсигурността на информационните и комуникационните технологии, както и за отмяна на Регламент (ЕС) № 526/2013 (Акт за киберсигурността) (ОВ L 151, , стр. 15—69).
Препоръка (ЕС) 2019/534 на Комисията от — Киберсигурност на 5G мрежите (ОВ L 88, , стр. 42—47).
Регламент (ЕС) 2018/1139 на Европейския парламент и на Съвета от относно общи правила в областта на гражданското въздухоплаване и за създаването на Агенция за авиационна безопасност на Европейския съюз и за изменение на регламенти (ЕО) № 2111/2005, (ЕО) № 1008/2008, (ЕС) № 996/2010, (ЕС) № 376/2014 и на директиви 2014/30/ЕС и 2014/53/ЕС на Европейския парламент и на Съвета и за отмяна на регламенти (ЕО) № 552/2004 и (ЕО) № 216/2008 на Европейския парламент и на Съвета и Регламент (ЕИО) № 3922/91 на Съвета (OВ L 212, , стр. 1—122).
Директива (EС) 2018/1972 на Европейския парламент и на Съвета от година за установяване на Европейски кодекс за електронни съобщения (преработена) (OВ L 321, , стр. 36—214).
Решение за изпълнение (ЕС) 2018/1993 на Съвета от относно договорености за интегрирана реакция на ЕС при политическа криза (ОВ L 320, , стр. 28—34).
Препоръка (ЕС) 2017/1584 на Комисията от относно координирана реакция на мащабни киберинциденти и кризи (ОВ L 239, , стр. 36—58).
Регламент (EС) 2016/679 на Европейския парламент и на Съвета от относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните) (ОВ L 119, , стр. 1—88).
Регламент (ЕС) № 910/2014 на Европейския парламент и на Съвета от относно електронната идентификация и удостоверителните услуги при електронни трансакции на вътрешния пазар и за отмяна на Директива 1999/93/ЕО (ОВ L 257, , стр. 73—114).
Директива 2013/40/ЕС на Европейския парламент и на Съвета от относно атаките срещу информационните системи и за замяна на Рамково решение 2005/222/ПВР на Съвета (ОВ L 218, , стр. 8—14).
Решение № 1313/2013/EС на Европейския парламент и на Съвета от относно Механизъм за гражданска защита на Съюза (ОB L 347, , стр. 924—947).
Директива 2011/93/ЕС на Европейския парламент и на Съвета от относно борбата със сексуалното насилие и със сексуалната експлоатация на деца, както и с детската порнография и за замяна на Рамково решение 2004/68/ПВР на Съвета (ОВ L 335, , стр. 1—14).
Регламент (ЕО) № 300/2008 на Европейския парламент и на Съвета от относно общите правила в областта на сигурността на гражданското въздухоплаване и за отмяна на Регламент (ЕО) № 2320/2002 (ОВ L 97,, стр. 72—84).
Директива 2002/58/ЕО на Европейския парламент и на Съвета от относно обработката на лични данни и защита на правото на неприкосновеност на личния живот в сектора на електронните комуникации (Директива за правото на неприкосновеност на личния живот и електронни комуникации) (ОВ L 201, , стр. 37—47).