Официален вестник |
BG Серия L |
2024/2690 |
18.10.2024 |
РЕГЛАМЕНТ ЗА ИЗПЪЛНЕНИЕ (ЕС) 2024/2690 НА КОМИСИЯТА
от 17 октомври 2024 година
за определяне на правила за прилагане на Директива (ЕС) 2022/2555 по отношение на техническите и методологичните изисквания относно мерките за управление на риска в областта на киберсигурността и за доуточняване на случаите, в които даден инцидент се счита за значителен по отношение на доставчиците на DNS услуги, регистрите на имена на домейни от първо ниво, доставчиците на компютърни услуги „в облак“, доставчиците на услуги на центрове за данни, доставчиците на мрежи за доставяне на съдържание, доставчиците на управлявани услуги, доставчиците на управлявани услуги за сигурност, доставчиците на онлайн места за търговия, на онлайн търсачките и на платформите на услуги за социални мрежи и доставчиците на удостоверителни услуги
(текст от значение за ЕИП)
ЕВРОПЕЙСКАТА КОМИСИЯ,
като взе предвид Договора за функционирането на Европейския съюз,
като взе предвид Директива (ЕС) 2022/2555 на Европейския парламент и на Съвета от 14 декември 2022 г. относно мерки за високо общо ниво на киберсигурност в Съюза, за изменение на Регламент (ЕС) № 910/2014 и Директива (ЕС) 2018/1972 и за отмяна на Директива (ЕС) 2016/1148 (Директива МИС 2) (1), и по-специално член 21, параграф 5, първа алинея и член 23, параграф 11, втора алинея от нея,
като има предвид, че:
(1) |
по отношение на доставчиците на DNS услуги, регистрите на имена на домейни от първо ниво, доставчиците на компютърни услуги „в облак“, доставчиците на услуги на центрове за данни, доставчиците на мрежи за доставяне на съдържание, доставчиците на управлявани услуги, доставчиците на управлявани услуги за сигурност, доставчиците на онлайн места за търговия, на онлайн търсачките и на платформите на услуги за социални мрежи и доставчиците на удостоверителни услуги, обхванати от член 3 от Директива (ЕС) 2022/2555 („съответните субекти“), с настоящия регламент се цели определяне на техническите и методологичните изисквания относно мерките, посочени в член 21, параграф 2 от Директива (ЕС) 2022/2555, и доуточняване на случаите, в които даден инцидент следва да се счита за значителен, както е посочено в член 23, параграф 3 от Директива (ЕС) 2022/2555. |
(2) |
Предвид трансграничния характер на техните дейности и с цел да се осигури съгласувана рамка за доставчиците на удостоверителни услуги, с настоящия регламент следва, по отношение на доставчиците на удостоверителни услуги, да бъдат доуточнени случаите, в които даден инцидент се счита за значителен, и заедно с това да се определят техническите и методологичните изисквания относно мерките за управление на риска в областта на киберсигурността. |
(3) |
В съответствие с член 21, параграф 5, трета алинея от Директива (ЕС) 2022/2555 техническите и методологичните изисквания относно мерките за управление на риска в областта на киберсигурността, посочени в приложението към настоящия регламент, се основават на европейски и международни стандарти, като ISO/IEC 27001, ISO/IEC 27002 и ETSI EN 319401, както и на технически спецификации, като CEN/TS 18026:2024, свързани със сигурността на мрежовите и информационните системи. |
(4) |
Що се отнася до изпълнението и прилагането на техническите и методологичните изисквания относно мерките за управление на риска в областта на киберсигурността, посочени в приложението към настоящия регламент, в съответствие с принципа на пропорционалност следва да се отчита надлежно различната експозиция на риск на съответните субекти, като например критичността на съответния субект, рисковете, на които е изложен, размера и структурата на съответния субект, както и вероятността от възникване на инциденти и тяхната сериозност, включително тяхното обществено и икономическо въздействие, когато въпросните субекти спазват техническите и методологичните изисквания относно мерките за управление на риска в областта на киберсигурността, посочени в приложението към настоящия регламент. |
(5) |
В съответствие с принципа на пропорционалност, когато съответните субекти не могат да изпълнят някои от техническите и методологичните изисквания относно мерките за управление на риска в областта на киберсигурността поради своя размер, тези субекти следва да могат да предприемат други компенсаторни мерки, които са подходящи за постигане на целта на тези изисквания. Например при определянето на ролите, отговорностите и правомощията за сигурността на мрежовите и информационните системи в рамките на съответния субект, микросубектите могат да срещнат трудности при разделянето на конфликтните задължения и конфликтните области на компетентност. Тези субекти следва да могат да обмислят компенсаторни мерки, като например целенасочен надзор от страна на ръководството на субекта или засилен мониторинг и водене на регистри. |
(6) |
Някои технически и методологични изисквания, посочени в приложението към настоящия регламент, следва да бъдат прилагани от съответните субекти, когато е целесъобразно, когато е приложимо или доколкото е осъществимо. Когато съответният субект счита, че за него не е целесъобразно, приложимо или осъществимо да прилага определени технически и методологични изисквания, предвидени в приложението към настоящия регламент, съответният субект следва да документира по разбираем начин мотивите си за това. Когато упражняват надзор, националните компетентни органи могат да вземат предвид подходящия срок, необходим на съответните субекти да изпълнят техническите и методологичните изисквания на мерките за управление на риска в областта на киберсигурността. |
(7) |
Съгласно Директива (ЕС) 2022/2555 ENISA или националните компетентни органи могат да предоставят насоки в подкрепа на съответните субекти при установяването, анализа и оценката на рисковете с цел изпълнение на техническите и методологичните изисквания относно създаването и поддържането на подходяща рамка за управление на риска. Такива насоки могат да включват по-специално национални и секторни оценки на риска, както и оценки на риска, специфични за определен вид субекти. Насоките могат също така да включват инструменти или образци за разработване на рамка за управление на риска на равнището на съответните субекти. Рамките, насоките или други механизми, предвидени в националното законодателство на държавите членки, също могат да подпомогнат съответните субекти при доказването на съответствие с настоящия регламент. Освен това съгласно Директива (ЕС) 2022/2555 ENISA или националните компетентни органи могат да подпомагат съответните субекти при намирането и прилагането на подходящи решения въздействие върху рисковете, установени в тези оценки на риска. Подобни насоки не бива да засягат задължението на съответните субекти да установяват и документират рисковете, свързани със сигурността на мрежовите и информационните системи, както и задължението им да прилагат техническите и методологичните изисквания относно мерките за управление на риска в областта на киберсигурността, посочени в приложението към настоящия регламент, съобразно своите нужди и ресурси. |
(8) |
Мерките за мрежова сигурност по отношение на: i) прехода към комуникационни протоколи за мрежовия слой от последно поколение, ii) внедряването на международно съгласувани и оперативно съвместими съвременни стандарти за комуникация по електронна поща, и iii) прилагането на най-добри практики за сигурността на DNS, както и за сигурността на интернет маршрутизацията и хигиената на маршрутизацията, са свързани със специфични предизвикателства по отношение на определянето на най-добрите налични стандарти и техники за внедряване. За да се постигне възможно най-скоро високо общо ниво на киберсигурност в мрежите, Комисията, със съдействието на Агенцията на Европейския съюз за киберсигурност (ENISA) и в сътрудничество с компетентните органи, промишлеността, включително сектора на телекомуникациите, и други заинтересовани страни, следва да подкрепи разработването на форум с участието на множество заинтересовани страни, натоварен със задачата да определи тези най-добри налични стандарти и техники за внедряване. Подобни насоки с участието на множество заинтересовани страни не следва да засягат задължението на съответните субекти да прилагат техническите и методологичните изисквания относно мерките за управление на риска в областта на киберсигурността, посочени в приложението към настоящия регламент. |
(9) |
Съгласно член 21, параграф 2, буква а) от Директива (ЕС) 2022/2555 съществените и важните субекти следва да имат освен политики за анализ на риска и политики за сигурност на информационните системи. За тази цел съответните субекти следва да създадат политика за сигурност на мрежовите и информационните системи, както и специфични тематични политики, като например политики за контрол на достъпа, които следва да бъдат съгласувани с политиката за сигурност на мрежовите и информационните системи. Политиката за сигурност на мрежовите и информационните системи следва да бъде документът от най-високо равнище, в който се определя цялостният подход на съответните субекти към сигурността на мрежовите и информационните им системи, и следва да бъде одобрена от управителните органи на съответните субекти. Специфичните тематични политики следва да бъдат одобрени от подходящо равнище на управление. В политиката следва да се определят показатели и мерки за мониторинг на нейното изпълнение и на текущото състояние на степента на зрялост на съответните субекти по отношение на мрежовата и информационната сигурност, по-специално за да се улесни надзорът върху изпълнението на мерките за управление на риска в областта на киберсигурността чрез управителните органи. |
(10) |
За целите на техническите и методологичните изисквания, установени в приложението към настоящия регламент, терминът „ползвател“ следва да обхваща всички юридически и физически лица, които имат достъп до мрежовите и информационните системи на субекта. |
(11) |
За да установят и да реагират на рисковете, свързани със сигурността на мрежовите и информационните системи, съответните субекти следва да създадат и да поддържат подходяща рамка за управление на риска. Като част от рамката за управление на риска съответните субекти следва да изготвят, прилагат и наблюдават план за въздействие върху риска. Съответните субекти могат да използват плана за въздействие върху риска, за да определят и приоритизират варианти и мерки за въздействие върху риска. Вариантите за въздействие върху риска включват по-специално избягване, намаляване или, в изключителни случаи, приемане на риска. При избора на варианти за въздействие върху риска следва да се вземат предвид резултатите от оценката на риска, извършена от съответния субект, и този избор да бъде в съответствие с политиката на съответния субект по отношение на сигурността на мрежовите и информационните системи. За да приведат в действие избраните варианти за въздействие върху риска, съответните субекти следва да предприемат подходящи мерки за въздействие върху риска. |
(12) |
За да откриват събития, ситуации, близки до инцидент, и инциденти, съответните субекти следва да извършват мониторинг на своите мрежови и информационни системи, както и да предприемат действия за оценка на събития, ситуации, близки до инцидент, и инциденти. Тези мерки следва да могат да позволяват своевременно откриване на атаки, насочени към мрежите, въз основа на необичайни модели на входящия или изходящия трафик, както и на атаки тип „отказ на услуга“. |
(13) |
При извършването на оценка на въздействието върху стопанската дейност от страна на съответните субекти, същите се насърчават оценката да бъде цялостна, като в нея бъдат установени, по целесъобразност, максималното допустимо време на престой, целите по отношение на времето за възстановяване, целите по отношение на точката на възстановяване и целите по отношение на предоставянето на услуги. |
(14) |
С цел намаляване на рисковете, произтичащи от веригата на доставки на съответния субект и отношенията му с доставчиците, съответните субекти следва да създадат политика за сигурност на веригата на доставки, в която да бъдат уредени отношенията им с преките им снабдители и доставчици на услуги. Тези субекти следва да посочат в договорите със своите преки снабдители или доставчици на услуги подходящи клаузи за сигурност, например като изискват, когато е целесъобразно, мерки за управление на риска в областта на киберсигурността в съответствие с член 21, параграф 2 от Директива (ЕС) 2022/2555, или с други подобни правни изисквания. |
(15) |
Съответните субекти следва редовно да извършват изпитвания на сигурността въз основа на специална политика и процедури, за да проверяват дали мерките за управление на риска в областта на киберсигурността се прилагат и функционират правилно. Изпитванията на сигурността могат да се извършват за конкретни мрежови и информационни системи или за съответния субект като цяло и могат да включват автоматични или ръчни изпитвания, изпитвания за пробив, внимателно изследване за уязвимости, статични и динамични изпитвания на сигурността на приложенията, изпитвания на конфигурацията или одити на сигурността. Съответните субекти могат да провеждат изпитвания на сигурността на своите мрежови и информационни системи при създаването им, след значителна според тях актуализация или промяна на инфраструктурата или приложенията или след поддръжка. Констатациите от изпитванията на сигурността следва да послужат като основа за политиките и процедурите на съответните субекти за оценка на ефективността на мерките за управление на риска в областта на киберсигурността, както и за независими прегледи на техните политики за мрежова и информационна сигурност. |
(16) |
За да се избегнат значителни смущения и вреди, причинени от използването на некоригирани уязвимости в мрежовите и информационните системи, съответните субекти следва да определят и прилагат подходящи процедури за управление на корекциите за сигурност, които са съгласувани с процедурите на съответните субекти за управление на промените, управление на уязвимостите, управление на риска и други съответни процедури. Съответните субекти следва да предприемат мерки, съразмерни на техните ресурси, за да гарантират, че с корекциите за сигурността не се въвеждат допълнителни уязвимости или нестабилности. В случай на планирана невъзможност за ползване на услугата, причинена от прилагането на корекции за сигурност, съответните субекти се насърчават да информират клиентите предварително. |
(17) |
Съответните субекти следва да управляват рисковете, произтичащи от придобиването на ИКТ продукти или ИКТ услуги от снабдители или доставчици на услуги, и следва да получат уверение, че ИКТ продуктите или ИКТ услугите, които ще придобият, покриват определени нива на защита на киберсигурността, например чрез европейски сертификати за киберсигурност и ЕС декларации за съответствие за ИКТ продукти или ИКТ услуги, издадени по европейска схема за сертифициране на киберсигурността, приета съгласно член 49 от Регламент (ЕС) 2019/881 на Европейския парламент и на Съвета (2). Когато съответните субекти определят изисквания за сигурност спрямо ИКТ продуктите, които ще бъдат придобити, те следва да вземат предвид съществените изисквания за киберсигурност, определени в регламент на Европейския парламент и на Съвета относно хоризонталните изисквания за киберсигурност за продукти с цифрови елементи. |
(18) |
За да се предпазят от киберзаплахи и да подпомогнат предотвратяването и ограничаването на нарушенията на сигурността на данните, съответните субекти следва да прилагат решения за мрежова сигурност. Типичните решения за мрежова сигурност включват използването на защитни стени за защита на вътрешните мрежи на съответните субекти, ограничаване на връзките и достъпа до услуги, когато тези връзки и достъп са абсолютно необходими, както и използването на виртуални частни мрежи за достъп от разстояние и разрешаване на свързването на доставчиците на услуги само след искане за разрешение и за определен период от време, например докато трае операция по поддръжка. |
(19) |
За да се защитят мрежите на съответните субекти и техните информационни системи от зловреден и неразрешен софтуер, тези субекти следва да въведат контрол, чрез който да се предотвратява или открива използването на неразрешен софтуер, и, когато е целесъобразно, те следва да използват софтуер за откриване и реагиране. Съответните субекти следва също така да обмислят прилагането на мерки за минимизиране на повърхността, уязвима на атаки, намаляване на уязвимостите, които могат да бъдат използвани от извършителите на атаки, контрол на изпълнението на приложенията в крайните точки и внедряване на филтри за електронна поща и уеб приложения, за да се намали излагането на зловредно съдържание. |
(20) |
Съгласно член 21, параграф 2, буква ж) от Директива (ЕС) 2022/2555 държавите членки трябва да гарантират, че съществените и важните субекти прилагат основни киберхигиенни практики и обучение в областта на киберсигурността. Основните киберхигиенни практики могат да включват принципи на нулево доверие, актуализации на софтуера, конфигурация на устройствата, сегментиране на мрежата, управление на самоличностите и достъпа или осведоменост на ползвателите, организиране на обучение за персонала и повишаване на осведомеността относно киберзаплахите, фишинга или техниките за социално инженерство. Киберхигиенните практики са част от различните технически и методологични изисквания относно мерките за управление на риска в областта на киберсигурността, посочени в приложението към настоящия регламент. Що се отнася до основните киберхигиенни практики за ползвателите, съответните субекти следва да обмислят практики, като например политика на изчистен работен плот и изчистен екран, използване на многофакторни решения и други средства за удостоверяване, безопасно използване на електронна поща и сърфиране в интернет, защита от фишинг и социално инженерство, сигурни практики за дистанционна работа. |
(21) |
За да се предотврати непозволеният достъп до активите на съответните субекти, те следва да създадат и приложат специфична тематична политика, насочена към достъпа на лица и на мрежови и информационни системи, като например приложения. |
(22) |
За да се избегне възможността служителите да злоупотребяват, например с права на достъп в рамките на съответния субект, за да навредят и да причинят щети, съответните субекти следва да обмислят подходящи мерки за управление на сигурността по отношение на служителите и да повишат осведомеността на персонала относно тези рискове. Съответните субекти следва да установят, разгласят и поддържат дисциплинарна процедура за разглеждане на нарушения на политиките за сигурност на мрежовите и информационните системи на съответните субекти, която може да бъде включена в други дисциплинарни процедури, установени от съответните субекти. Цялостната проверка на служителите и, когато е приложимо, на преките снабдители и доставчиците на услуги на съответните субекти, следва да допринасят за постигането на целта за сигурност на човешките ресурси в съответните субекти и могат да включват мерки като проверки на данните за съдимост на лицето или на предишни професионални задължения, в зависимост от задълженията на лицето в съответния субект и в съответствие с политиката на съответния субект за сигурност на мрежовите и информационните системи. |
(23) |
Многофакторното удостоверяване на автентичността може да повиши киберсигурността на субектите и те следва да го обмислят, по-специално когато ползвателите имат достъп до мрежови и информационни системи от отдалечени места или когато имат достъп до чувствителна информация или до привилегировани профили и профили за системно администриране. Многофакторното удостоверяване на автентичността може да се комбинира с други техники за изискване на допълнителни фактори при определени обстоятелства въз основа на предварително определени правила и модели, като например достъп от необичайно място, от необичайно устройство или в необичайно време. |
(24) |
Съответните субекти следва да управляват и защитават активите, които са ценни за тях, чрез надеждно управление, което следва да служи и като основа за анализ на риска и управление на непрекъснатостта на стопанската дейност. Съответните субекти следва да управляват както материални, така и нематериални активи и да създадат техен опис, да ги свързват с определено ниво чрез класификация, да боравят с тях и да ги проследяват, както и да предприемат стъпки за тяхната защита през целия им жизнен цикъл. |
(25) |
Управлението на активите следва да включва класификация на активите по вид, чувствителност, ниво на риск и изисквания за сигурност и прилагане на подходящи мерки и контрол, за да се гарантира тяхната разполагаемост, цялостност, поверителност и автентичност. Чрез класификацията на активите по ниво на риска съответните субекти следва да могат да прилагат подходящи мерки за сигурност и контрол за защита на активите, като например криптиране, контрол на достъпа, включително контрол на достъпа до периметъра и на физическия и логическия достъп, резервни копия, водене на регистри и мониторинг, съхранение и унищожаване. Когато извършват оценка на въздействието върху стопанската дейност, съответните субекти могат да определят нивото на класификация въз основа на последиците за субектите от прекъсването на функционирането на активите. Всички служители на субектите, боравещи с активи, следва да са запознати с политиките и инструкциите за работа с активи. |
(26) |
Степента на подробност на описа на активите следва да бъде съобразена с нуждите на съответните субекти. Изчерпателният опис на активите може да включва за всеки актив най-малко уникален идентификатор, собственика на актива, описание на актива, местоположението на актива, вида на актива, вида и класификацията на информацията, обработвана в актива, датата на последната актуализация или корекция на актива, класификацията на актива съгласно оценката на риска и края на жизнения цикъл на актива. Когато идентифицират собственика на даден актив, съответните субекти следва да идентифицират и лицето, отговорно за защитата на този актив. |
(27) |
С разпределението и организацията на ролите, отговорностите и правомощията в областта на киберсигурността следва да се установи последователна структура за управление и внедряване на киберсигурността в рамките на съответните субекти и да се гарантира ефективна комуникация в случай на инциденти. При определянето и възлагането на отговорности за определени роли съответните субекти следва да разгледат възможни роли като главен служител по въпросите на информационната сигурност, служител по въпросите на информационната сигурност, служител по действията при инцидент, одитор или сравними еквивалентни длъжности. Съответните субекти могат да възлагат роли и отговорности на външни страни, като например трети страни доставчици на услуги в областта на ИКТ. |
(28) |
В съответствие с член 21, параграф 2 от Директива (ЕС) 2022/2555 мерките за управление на риска в областта на киберсигурността следва да се основават на подход, обхващащ всички опасности, който има за цел да защити мрежовите и информационните системи и физическото обкръжение на тези системи от събития като кражба, пожар, наводнение, телекомуникационни повреди или прекъсване на захранването, или от всякакъв непозволен физически достъп и щети и намеса в информацията на съществения или важния субект и неговите съоръжения за обработка на информация, които биха могли да засегнат отрицателно разполагаемостта, автентичността, цялостността или поверителността на съхраняваните, пренасяните или обработваните данни или на услугите, предлагани от мрежови и информационни системи или достъпни чрез тях. Поради това техническите и методологичните изисквания относно мерките за управление на риска в областта на киберсигурността следва да вземат предвид и физическата сигурност и опасностите от природен характер на мрежовите и информационните системи, като включват мерки за защита на тези системи от системни повреди, човешки грешки, злонамерени действия или природни явления. Ето някои допълнителни примери за физически и природни заплахи: земетресения, експлозии, саботаж, вътрешна заплаха, граждански размирици, токсични отпадъци и емисии в околната среда. Предотвратяването на загуба, повреда или компрометиране на мрежовите и информационните системи или прекъсването на техните операции поради авария и прекъсване на поддържащите комунални услуги следва да допринесе за постигането на целта за непрекъснатост на стопанската дейност в съответните субекти. Освен това защитата срещу физически и природни заплахи следва да допринесе за сигурността на поддръжката на мрежовите и информационните системи в съответните субекти. |
(29) |
Те разработват и прилагат мерки за защита срещу физически и природни заплахи и определят минимални и максимални прагове за контрол на физическите и екологичните заплахи и следят екологичните параметри. Например те следва да обмислят инсталирането на системи, които да откриват на ранен етап наводняването на зони, в които са разположени мрежови и информационни системи. Що се отнася до опасността от пожар, съответните субекти следва да обмислят създаването на отделно пожарообезопасено помещение за центъра за данни, използването на огнеустойчиви материали, датчици за следене на температурата и влажността, свързването на сградата с пожароизвестителна система с автоматизирано уведомяване на местната противопожарна служба и системи за ранно засичане и пожарогасене. Съответните субекти следва също така да провеждат редовни противопожарни тренировки и противопожарни обследвания. Освен това, за да се гарантира електрозахранването, съответните субекти следва да вземат мерки за защита от пренапрежение и за съответното аварийно електрозахранване съгласно съответните стандарти. Също така, тъй като прегряването представлява риск за разполагаемостта на мрежовите и информационните системи, съответните субекти, по-специално доставчиците на услуги на центрове за данни, биха могли да помислят за подходящи, непрекъснато функциониращи и резервирани климатични инсталации. |
(30) |
Настоящият регламент има за цел да се уточнят допълнително случаите, в които даден инцидент следва да се счита за значителен за целите на член 23, параграф 3 от Директива (ЕС) 2022/2555. Критериите следва да позволяват на съответните субекти да преценят дали даден инцидент е значителен, за да уведомят за него в съответствие с Директива (ЕС) 2022/2555. Освен това критериите, посочени в настоящия регламент, следва да се считат за изчерпателни, без да се засяга член 5 от Директива (ЕС) 2022/2555. С настоящия регламент се определят случаите, в които даден инцидент следва да се счита за значителен, като се посочват хоризонтални случаи, както и случаи, специфични за типа субект. |
(31) |
Съгласно член 23, параграф 4 от Директива (ЕС) 2022/2555 от съответните субекти следва да се изисква да уведомяват за значителни инциденти в сроковете, определени в тази разпоредба. Тези срокове за уведомяване започват да текат от момента, в който субектът узнае за подобни значителни инциденти. Поради това от съответния субект се изисква да докладва за инциденти, които въз основа на първоначалната му оценка биха могли да причинят сериозни оперативни смущения на услугите или финансови загуби за този субект или да засегнат други физически или юридически лица, като причинят значителни имуществени или неимуществени вреди. Ето защо, когато съответният субект е открил подозрително събитие или след като потенциален инцидент е бил доведен до знанието му от трета страна, като например физическо лице, клиент, субект, орган, медийна организация или друг източник, съответният субект следва своевременно да направи оценка на подозрителното събитие, за да определи дали то представлява инцидент и, ако е така, да определи неговото естество и тежест. Следователно следва да се счита, че съответният субект е „узнал“ за значителния инцидент, когато след такава първоначална оценка той e установил с достатъчна степен на сигурност, че е настъпил значителен инцидент. |
(32) |
За целите на установяването дали даден инцидент е значителен, когато е уместно, съответните субекти следва да изчислят броя на потребителите, засегнати от инцидента, като вземат предвид бизнес клиентите и крайните клиенти, с които съответните субекти имат договорни отношения, както и физическите и юридическите лица, които са свързани с бизнес клиентите. Когато съответният субект не е в състояние да изчисли броя на засегнатите ползватели, за целите на изчисляването на техния общ брой се взема предвид приблизителната оценка на съответния субект за възможния максимален брой ползватели, засегнати от инцидента. Значимостта на даден инцидент, свързан с удостоверителна услуга, следва да се определя не само от броя на ползвателите, но и от броя на доверяващите се страни, тъй като те могат да бъдат еднакво засегнати от значителен инцидент, свързан с удостоверителна услуга, по отношение на прекъсване на работата и имуществени или неимуществени щети. Поради това доставчиците на удостоверителни услуги следва, когато е приложимо, да вземат предвид и броя на доверяващите се страни, когато установяват дали даден инцидент е значителен. За тази цел под доверяващи се страни следва да се разбира физически или юридически лица, които разчитат на дадена удостоверителна услуга. |
(33) |
Дейности по поддръжка, които водят до ограничена достъпност или недостъпност на услугите, не следва да се считат за значими инциденти, ако ограничената достъпност или недостъпността на услугата е в съответствие с планирана дейност по поддръжка. Освен това случаите, в които услугата не е достъпна поради планирани прекъсвания, като например прекъсвания или недостъпност въз основа на предварително определено договорно споразумение, не следва да се считат за значителен инцидент. |
(34) |
Продължителността на инцидента, който оказва влияние върху наличността на дадена услуга, следва да се измерва от момента на прекъсване на надлежното предоставяне на тази услуга до момента на възстановяване. Когато съответният субект не е в състояние да определи момента, в който е започнало прекъсването, продължителността на инцидента следва да се измерва от момента, в който инцидентът е бил засечен, или от момента, в който инцидентът е бил вписан в мрежовите или системните регистри или в други източници на данни, в зависимост от това кое от двете събития е настъпило първо. |
(35) |
Пълната недостъпност на дадена услуга следва да се измерва от момента, в който услугата е напълно недостъпна за ползвателите, до момента, в който редовните дейности или операции са възстановени до нивото на обслужване, предоставяно преди инцидента. Когато съответният субект не е в състояние да определи кога е започнала пълната недостъпност на услугата, недостъпността следва да се измерва от момента, в който тя е била установена от този субект. |
(36) |
За целите на определянето на преките финансови загуби, произтичащи от инцидент, съответните субекти следва да вземат предвид всички финансови загуби, които са понесли в резултат на инцидента, като например разходи за замяна или преместване на софтуер, хардуер или инфраструктура, разходи за персонал, включително разходи, свързани със замяна или преместване на персонал, наемане на допълнителен персонал, възнаграждение за извънреден труд и възстановяване на изгубени или нарушени умения, такси поради неспазване на договорни задължения, разходи за правна защита и обезщетение на клиенти, загуби поради пропуснати приходи, разходи, свързани с вътрешна и външна комуникация, разходи за консултации, включително разходи, свързани с правни консултации, криминалистични анализи и услуги за възстановяване, както и други разходи, свързани с инцидента. Същевременно административните глоби, както и разходите, които са необходими за ежедневното функциониране на предприятието, не следва да се считат за финансови загуби в резултат на инцидент, включително разходите за обща поддръжка на инфраструктурата, оборудването, хардуера и софтуера, за поддържане на актуални умения на персонала, вътрешните или външните разходи за подобряване на дейността след инцидента, включително за модернизация, подобрения и инициативи за оценка на риска, както и за застрахователни премии. Съответните субекти следва да изчислят размера на финансовите загуби въз основа на наличните данни, а когато действителният размер на тези загуби не може да бъде определен, субектите следва да направят приблизителна оценка. |
(37) |
Съответните субекти следва също така да бъдат задължени да докладват за инциденти, които са причинили или могат да причинят смърт на физически лица или значително увреждане на здравето на физически лица, тъй като такива инциденти съставляват особено сериозни случаи на причиняване на значителни имуществени или неимуществени вреди. Например инцидент, засягащ съответен субект, може да доведе до недостъпност на здравни или спешни услуги или до загуба на поверителността или целостта на данни с последици за здравето на физически лица. За целите на определянето на това дали даден инцидент е причинил или е в състояние да причини значително увреждане на здравето на физическо лице, съответните субекти следва да вземат предвид дали инцидентът е причинил или е в състояние да причини тежки наранявания и влошаване на здравето. За тази цел от съответните субекти не следва да се изисква да събират допълнителна информация, до която нямат достъп. |
(38) |
За ограничена достъпност следва да се счита по-специално, когато услуга, предоставяна от съответния субект, е значително по-бавна от средното време за отговор или когато не всички функционалности на услугата са достъпни. Когато е възможно, за оценка на закъсненията във времето за отговор следва да се използват обективни критерии, основани на средното време за отговор на услугите, предоставяни от съответните субекти. Функционалност на услугата може да бъде например функция за чат или функция за търсене на изображения. |
(39) |
Успешно осъществен непозволен достъп до мрежовите и информационните системи на съответния субект, за който има подозрение, че е злонамерен, следва да се счита за значителен инцидент, когато може да причини сериозно нарушение на дейността. Например, когато участник в киберзаплаха се позиционира предварително в мрежовите и информационните системи на съответния субект с цел да предизвика прекъсване на услугите в бъдеще, инцидентът следва да се счита за значителен. |
(40) |
Повтарящи се инциденти, които са свързани с една и съща видима първопричина, които поотделно не отговарят на критериите за значителен инцидент, следва да се считат за значителен инцидент заедно, при условие че заедно отговарят на критерия за финансова загуба и че са възникнали поне два пъти в рамките на шест месеца. Такива повтарящи се инциденти могат да свидетелстват за значителни недостатъци и слабости в процедурите за управление на риска в областта на киберсигурността на съответния субект и за тяхната степен на зрялост по отношение на киберсигурността. Освен това такива повтарящи се инциденти могат да причинят значителни финансови загуби на съответния субект. |
(41) |
Комисията обмени становища и си сътрудничи с групата за сътрудничество и ENISA по проекта на акта за изпълнение в съответствие с член 21, параграф 5 и член 23, параграф 11 от Директива (ЕС) 2022/2555. |
(42) |
Европейския надзорен орган по защита на данните беше консултиран в съответствие с член 42, параграф 1 от Регламент (ЕС) 2018/1725 на Европейския парламент и на Съвета (3) и прие своето становище на 1 септември 2024 г. |
(43) |
Мерките, предвидени в настоящия регламент, са в съответствие със становището на комитета, създаден в съответствие с член 39 от Директива (ЕС) 2022/2555, |
ПРИЕ НАСТОЯЩИЯ РЕГЛАМЕНТ:
Член 1
Предмет
С настоящия регламент се определят техническите и методологичните изисквания относно мерките, посочени в член 21, параграф 2 от Директива (ЕС) 2022/2555, по отношение на доставчиците на DNS услуги, регистрите на имена на домейни от първо ниво, доставчиците на компютърни услуги „в облак“, доставчиците на услуги на центрове за данни, доставчиците на мрежи за доставяне на съдържание, доставчиците на управлявани услуги, доставчиците на управлявани услуги за сигурност, доставчиците на онлайн места за търговия, на онлайн търсачките и на платформите на услуги за социални мрежи и доставчиците на удостоверителни услуги („съответните субекти“), и се доуточняват случаите, в които даден инцидент следва да се счита за значителен, както е посочено в член 23, параграф 3 от Директива (ЕС) 2022/2555.
Член 2
Технически и методологични изисквания
1. За съответните субекти техническите и методологичните изисквания относно мерките за управление на риска в областта на киберсигурността, посочени в член 21, параграф 2, букви а)—й) от Директива (ЕС) 2022/2555, са изложени в приложението към настоящия регламент.
2. Съответните субекти осигуряват ниво на сигурност на мрежовите и информационните системи, което съответства на съществуващите рискове при изпълнението и прилагането на техническите и методологичните изисквания относно мерките за управление на риска в областта на киберсигурността, посочени в приложението към настоящия регламент. За тази цел, когато спазват техническите и методологичните изисквания относно мерките за управление на риска в областта на киберсигурността, посочени в приложението към настоящия регламент, те надлежно отчитат степента на своята експозиция на рискове, своя размер и вероятността от възникване на инциденти и тяхната сериозност, включително тяхното въздействие върху обществото и икономиката.
Когато в приложението към настоящия регламент се предвижда, че дадено техническо или методологично изискване на мярка за управление на риска в областта на киберсигурността се прилага, „когато е целесъобразно“, „когато е приложимо“ или „доколкото е осъществимо“, и когато съответният субект счита, че не е целесъобразно, не е приложимо или не е осъществимо да прилага някои от тези технически и методологични изисквания, той документира по разбираем начин мотивите си за това.
Член 3
Значителни инциденти
1. Даден инцидент се счита за значителен за целите на член 23, параграф 3 от Директива (ЕС) 2022/2555 по отношение на съответните субекти, когато са изпълнени един или повече от следните критерии:
а) |
инцидентът е причинил или може да причини пряка финансова загуба на съответния субект, която надвишава 500 000 EUR или 5 % от общия годишен оборот на съответния субект през предходната финансова година, в зависимост от това коя от двете стойности е по-ниска; |
б) |
инцидентът е причинил или може да причини изтичане на търговски тайни, както е посочено в член 2, точка 1 от Директива (ЕС) 2016/943 на съответния субект; |
в) |
инцидентът е причинил или може да причини смъртта на физическо лице; |
г) |
инцидентът е причинил или може да причини значително увреждане на здравето на физическо лице; |
д) |
до мрежовите и информационните системи успешно е бил осъществен непозволен достъп, за който има подозрение, че е злонамерен, и който може да причини сериозно оперативно смущение; |
е) |
инцидентът отговаря на критериите, посочени в член 4; |
ж) |
инцидентът отговаря на един или повече от критериите, посочени в членове 5—14. |
2. Планираните прекъсвания на услуга и планираните последици от планирани дейности по поддръжка, извършвани от съответните субекти или от тяхно име, не се считат за значителни инциденти.
3. Когато изчисляват броя на ползвателите, засегнати от даден инцидент, за целите на членове 7 и 9—14, съответните субекти вземат предвид всички изброени по-долу елементи:
а) |
броя на клиентите, които имат договор със съответния субект, съгласно който им се предоставя достъп до мрежовите и информационните системи на съответния субект или до услуги, предлагани от тези мрежови и информационни системи или достъпни чрез тях; |
б) |
броя на физическите и юридическите лица, свързани с бизнес клиенти, които използват мрежовите и информационните системи на субектите или услугите, предлагани от тези мрежови и информационни системи или достъпни чрез тях. |
Член 4
Повтарящи се инциденти
Инциденти, които поотделно не се считат за значителен инцидент по смисъла на член 3, се разглеждат заедно като един значителен инцидент, когато отговарят на всички изброени по-долу критерии:
а) |
възникнали са поне два пъти в рамките на 6 месеца; |
б) |
първопричината за възникването им е видимо една и съща; |
в) |
заедно отговарят на критериите, посочени в член 3, параграф 1, буква а). |
Член 5
Значителни инциденти по отношение на доставчиците на DNS услуги
По отношение на доставчиците на DNS услуги даден инцидент се счита за значителен съгласно член 3, параграф 1, буква ж), когато отговаря на един или повече от следните критерии:
а) |
услуга по преобразуване на имена на домейни чрез рекурсивен или овластен сървър е напълно недостъпна за повече от 30 минути; |
б) |
за период, по-дълъг от един час, средното време за отговор на услуга по преобразуване на имена на домейни чрез рекурсивен или овластен сървър на DNS заявки е повече от 10 секунди; |
в) |
целостта, поверителността или автентичността на съхраняваните, предаваните или обработваните данни, свързани с предоставянето на услугата по преобразуване на имена на домейни чрез овластен сървър, е нарушена, освен в случаите, когато данните за по-малко от 1 000 имена на домейни, управлявани от доставчика на DNS услугата, възлизащи на не повече от 1 % от имената на домейни, управлявани от доставчика на DNS услугата, не са верни поради неправилна конфигурация. |
Член 6
Значителни инциденти по отношение на регистрите на имена на домейни от първо ниво
По отношение на регистрите на имена на домейни от първо ниво даден инцидент се счита за значителен съгласно член 3, параграф 1, буква ж), когато отговаря на един или повече от следните критерии:
а) |
услуга по преобразуване на имена на домейни чрез овластен сървър е напълно недостъпна; |
б) |
за период, по-дълъг от един час, средното време за отговор на услуга по преобразуване на имена на домейни чрез овластен сървър на DNS заявки е повече от 10 секунди; |
в) |
целостта, поверителността или автентичността на съхраняваните, предаваните или обработваните данни, свързани с техническото функциониране на регистрите на имена на домейни от първо ниво, е нарушена. |
Член 7
Значителни инциденти по отношение на доставчиците на компютърни услуги „в облак“
По отношение на доставчиците на компютърни услуги „в облак“ даден инцидент се счита за значителен съгласно член 3, параграф 1, буква ж), когато отговаря на един или повече от следните критерии:
а) |
предоставяна компютърна услуга „в облак“ е напълно недостъпна за повече от 30 минути; |
б) |
достъпността на компютърна услуга „в облак“ на даден доставчик е ограничена за повече от 5 % от ползвателите на услугата в Съюза или за повече от 1 милион ползватели на услугата в Съюза, в зависимост от това кое от двете числа е по-малко, за повече от един час; |
в) |
целостта, поверителността или автентичността на съхраняваните, предаваните или обработваните данни, свързани с предоставянето на компютърна услуга „в облак“, е нарушена в резултат на предполагаемо злонамерено действие; |
г) |
целостта, поверителността или автентичността на съхраняваните, предаваните или обработваните данни, свързани с предоставянето на компютърна услуга „в облак“, е нарушена, което засяга над 5 % от ползвателите на услугата в Съюза или над 1 милион ползватели на услугата в Съюза, в зависимост от това кое от двете числа е по-малко. |
Член 8
Значителни инциденти по отношение на доставчиците на услуги на центрове за данни
По отношение на доставчиците на услуги на центрове за данни даден инцидент се счита за значителен съгласно член 3, параграф 1, буква ж), когато отговаря на един или повече от следните критерии:
а) |
услуга на център за данни, управляван от доставчика, е напълно недостъпна; |
б) |
достъпността на услуга на център за данни, управляван от доставчика, е ограничена за повече от един час; |
в) |
целостта, поверителността или автентичността на съхраняваните, предаваните или обработваните данни, свързани с предоставянето на услуга на център за данни, е нарушена в резултат на предполагаемо злонамерено действие; |
г) |
физическият достъп до център за данни, управляван от доставчика, е нарушен. |
Член 9
Значителни инциденти по отношение на доставчиците на мрежи за доставяне на съдържание
По отношение на доставчиците на мрежи за доставяне на съдържание даден инцидент се счита за значителен съгласно член 3, параграф 1, буква ж), когато отговаря на един или повече от следните критерии:
а) |
мрежата за доставяне на съдържание е изцяло неразполагаема за повече от 30 минути; |
б) |
разполагаемостта на мрежата за доставяне на съдържание е ограничена за повече от един час за над 5 % от ползвателите на тази мрежа в Съюза или за над 1 милион ползватели на тази мрежа в Съюза, в зависимост от това кое от двете числа е по-малко; |
в) |
целостта, поверителността или автентичността на съхраняваните, предаваните или обработваните данни, свързани с предоставянето на мрежа за доставяне на съдържание, е нарушена в резултат на предполагаемо злонамерено действие; |
г) |
целостта, поверителността или автентичността на съхраняваните, предаваните или обработваните данни, свързани с предоставянето на мрежа за доставяне на съдържание, е нарушена и това засяга над 5 % от ползвателите на мрежата в Съюза или над 1 милион ползватели на мрежата в Съюза, в зависимост от това кое от двете числа е по-малко. |
Член 10
Значими инциденти по отношение на доставчиците на управлявани услуги и доставчиците на управлявани услуги за сигурност
По отношение на доставчиците на управлявани услуги и доставчиците на управлявани услуги за сигурност даден инцидент се счита за значителен съгласно член 3, параграф 1, буква ж), когато отговаря на един или повече от следните критерии:
а) |
управлявана услуга или управлявана услуга за сигурност е напълно недостъпна за повече от 30 минути; |
б) |
достъпността на управлявана услуга или на управлявана услуга за сигурност е ограничена за повече от един час за над 5 % от ползвателите на услугата в Съюза или за над 1 милион ползватели на услугата в Съюза, в зависимост от това кое от двете числа е по-малко; |
в) |
целостта, поверителността или автентичността на съхраняваните, предаваните или обработваните данни, свързани с предоставянето на управлявана услуга или управлявана услуга за сигурност, е нарушена в резултат на предполагаемо злонамерено действие; |
г) |
целостта, поверителността или автентичността на съхраняваните, предаваните или обработваните данни, свързани с предоставянето на управлявана услуга или управлявана услуга за сигурност, е нарушена, което засяга над 5 % от ползвателите на управляваната услуга или управляваната услуга за сигурност в Съюза или над 1 милион ползватели на услугата в Съюза, в зависимост от това кое от двете числа е по-малко. |
Член 11
Съществени инциденти по отношение на доставчиците на онлайн места за търговия
По отношение на доставчиците на онлайн места за търговия даден инцидент се счита за значителен съгласно член 3, параграф 1, буква ж), когато отговаря на един или повече от следните критерии:
а) |
онлайн място за търговия е напълно недостъпно за над 5 % от ползвателите на онлайн мястото за търговия в Съюза или за над 1 милион ползватели на онлайн мястото за търговия в Съюза, в зависимост от това кое от двете числа е по-малко; |
б) |
над 5 % от ползвателите на онлайн място за търговия в Съюза или над 1 милион ползватели на онлайн място за търговия в Съюза, в зависимост от това кое от двете числа е по-малко, са засегнати от ограничената достъпност на онлайн мястото за търговия; |
в) |
целостта, поверителността или автентичността на съхраняваните, предаваните или обработваните данни, свързани с предоставянето на онлайн място за търговия, е нарушена в резултат на предполагаемо злонамерено действие; |
г) |
целостта, поверителността или автентичността на съхраняваните, предаваните или обработваните данни, свързани с предоставянето на онлайн място за търговия, е нарушена, което засяга над 5 % от ползвателите на онлайн мястото за търговия в Съюза или над 1 милион ползватели на онлайн мястото за търговия в Съюза, в зависимост от това кое от двете числа е по-малко. |
Член 12
Съществени инциденти по отношение на доставчиците на онлайн търсачки
По отношение на доставчиците на онлайн търсачки даден инцидент се счита за значителен съгласно член 3, параграф 1, буква ж), когато отговаря на един или повече от следните критерии:
а) |
онлайн търсачка е напълно недостъпна за над 5 % от ползвателите на онлайн търсачката в Съюза или за над 1 милион ползвателите на онлайн търсачката в Съюза, в зависимост от това кое от двете числа е по-малко; |
б) |
над 5 % от ползвателите на онлайн търсачка в Съюза или над 1 милион ползватели на онлайн търсачка в Съюза, в зависимост от това кое от двете числа е по-малко, са засегнати от ограничената достъпност на онлайн търсачката; |
в) |
целостта, поверителността или автентичността на съхраняваните, предаваните или обработваните данни, свързани с предоставянето на онлайн търсачка, е нарушена в резултат на предполагаемо злонамерено действие; |
г) |
целостта, поверителността или автентичността на съхраняваните, предаваните или обработваните данни, свързани с предоставянето на онлайн търсачка, е нарушена, което засяга над 5 % от ползвателите на онлайн търсачката в Съюза или над 1 милион ползватели на онлайн търсачката в Съюза, в зависимост от това кое от двете числа е по-малко. |
Член 13
Значителни инциденти по отношение на доставчиците на платформи на услуги за социални мрежи
По отношение на доставчиците на платформи на услуги за социални мрежи даден инцидент се счита за значителен съгласно член 3, параграф 1, буква ж), когато отговаря на един или повече от следните критерии:
а) |
платформа на услуги за социални мрежи е напълно недостъпна за над 5 % от ползвателите на платформата в Съюза или за над 1 милион от ползвателите на платформата в Съюза, в зависимост от това кое от двете числа е по-малко; |
б) |
над 5 % от ползвателите на платформа на услуги за социални мрежи в Съюза или над 1 милион ползватели на платформа на услуги за социални мрежи в Съюза, в зависимост от това кое от двете числа е по-малко, са засегнати от ограничената достъпност на платформата; |
в) |
целостта, поверителността или автентичността на съхраняваните, предаваните или обработваните данни, свързани с предоставянето на платформа на услуги за социални мрежи, е нарушена в резултат на предполагаемо злонамерено действие; |
г) |
целостта, поверителността или автентичността на съхраняваните, предаваните или обработваните данни, свързани с предоставянето на платформа на услуги за социални мрежи, е нарушена, което засяга над 5 % от ползвателите на платформата в Съюза или над 1 милион ползватели на платформата в Съюза, в зависимост от това кое от двете числа е по-малко. |
Член 14
Значителни инциденти по отношение на доставчиците на удостоверителни услуги
По отношение на доставчиците на удостоверителни услуги даден инцидент се счита за значителен съгласно член 3, параграф 1, буква ж), когато отговаря на един или повече от следните критерии:
а) |
удостоверителна услуга е напълно недостъпна за повече от 20 минути; |
б) |
удостоверителна услуга е недостъпна за ползвателите или доверяващите се страни за повече от един час, изчислен на база календарна седмица; |
в) |
над 1 % от ползвателите или доверяващите се страни в Съюза или над 200 000 ползватели или доверяващи се страни в Съюза, в зависимост от това кое от двете числа е по-малко, са засегнати от ограничената достъпност на удостоверителна услуга; |
г) |
физическият достъп до зона, в която се намират мрежови и информационни системи и до която достъпът е ограничен до доверения персонал на доставчика на удостоверителни услуги, или защитата на този физически достъп са нарушени; |
д) |
целостта, поверителността или автентичността на съхраняваните, предаваните или обработваните данни, свързани с предоставянето на удостоверителна услуга, е нарушена, което засяга над 0,1 % от ползвателите или доверяващите се страни или над 100 ползватели или доверяващи се страни, ползващи тази удостоверителна услуга в Съюза, в зависимост от това кое от двете числа е по-малко. |
Член 16
Влизане в сила и прилагане
Настоящият регламент влиза в сила на двадесетия ден след деня на публикуването му в Официален вестник на Европейския съюз.
Настоящият регламент е задължителен в своята цялост и се прилага пряко във всички държави членки.
Съставено в Брюксел на 17 октомври 2024 година.
За Комисията
Председател
Ursula VON DER LEYEN
(1) ОВ L 333, 27.12.2022 г., стр. 80., ELI: http://data.europa.eu/eli/dir/2022/2555/oj.
(2) Регламент (ЕС) 2019/881 на Европейския парламент и на Съвета от 17 април 2019 г. относно ENISA (Агенцията на Европейския съюз за киберсигурност) и сертифицирането на киберсигурността на информационните и комуникационните технологии, както и за отмяна на Регламент (ЕС) № 526/2013 (Акт за киберсигурността) (ОВ L 151, 7.6.2019 г., стр. 15)., ELI: http://data.europa.eu/eli/reg/2019/881/oj).
(3) Регламент (ЕС) 2018/1725 на Европейския парламент и на Съвета от 23 октомври 2018 г. относно защитата на физическите лица във връзка с обработването на лични данни от институциите, органите, службите и агенциите на Съюза и относно свободното движение на такива данни и за отмяна на Регламент (ЕО) № 45/2001 и Решение № 1247/2002/ЕО (ОВ L 295, 21.11.2018 г., стр. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).
(4) Регламент за изпълнение (ЕС) 2018/151 на Комисията от 30 януари 2018 г. за определяне на правила за прилагане на Директива (ЕС) 2016/1148 на Европейския парламент и на Съвета по отношение на допълнителното уточняване на елементите, които трябва да се вземат предвид от доставчиците на цифрови услуги при управлението на рисковете за сигурността на мрежите и информационните системи, както и на показателите за определяне на това дали даден инцидент има съществено въздействие (ОВ L 26, 31.1.2018 г., стр. 48, ELI: http://data.europa.eu/eli/reg_impl/2018/151/oj).
ПРИЛОЖЕНИЕ
Технически и методологични изисквания, посочени в член 2 от настоящия регламент
1. Политика за сигурност на мрежовите и информационните системи (член 21, параграф 2, буква а) от Директива (ЕС) 2022/2555)
1.1. Политика за сигурността на мрежовите и информационните системи
1.1.1. |
За целите на член 21, параграф 2, буква а) от Директива (ЕС) 2022/2555 политиката за сигурност на мрежовите и информационните системи:
|
1.1.2. |
Политиката за сигурност на мрежовите и информационните системи се преразглежда и, когато е необходимо, се актуализира от управителните органи поне веднъж годишно и при възникване на значителни инциденти или значителни промени в операциите или рисковете. Резултатите от преразглеждането се документират. |
1.2. Роли, отговорности и правомощия
1.2.1. |
Като част от своята политика за сигурност на мрежовите и информационните системи, посочена в точка 1.1, съответните субекти определят отговорностите и правомощията за сигурността на мрежовите и информационните системи и ги разпределят по роли, както и според нуждите на съответните субекти, и ги съобщават на органите за управление. |
1.2.2. |
Съответните субекти изискват от целия персонал и третите страни да прилагат мерките за сигурност на мрежовите и информационните системи в съответствие с установената политика за мрежова и информационна сигурност, специфичните тематични политики и процедури на съответните субекти. |
1.2.3. |
Поне едно лице докладва пряко на управителните органи по въпросите на сигурността на мрежовите и информационните системи. |
1.2.4. |
В зависимост от големината на съответните субекти сигурността на мрежовите и информационните системи се покрива от специални роли или задължения, изпълнявани в допълнение към съществуващите роли. |
1.2.5. |
Когато е приложимо, конфликтните задължения и конфликтните области на компетентност се разделят. |
1.2.6. |
Ролите, отговорностите и правомощията се преразглеждат и, когато е необходимо, се актуализират от управителните органи през планирани интервали от време и при възникване на значителни инциденти или значителни промени в операциите или рисковете. |
2. Политика за управление на риска (член 21, параграф 2, буква а) от Директива (ЕС) 2022/2555)
2.1. Рамка за управление на риска
2.1.1. |
За целите на член 21, параграф 2, буква а) от Директива (ЕС) 2022/2555 съответните субекти създават и поддържат подходяща рамка за управление на риска, за да установяват и да се справят с рисковете, свързани със сигурността на мрежовите и информационните системи. Съответните субекти извършват и документират оценки на риска и въз основа на резултатите изготвят и прилагат план за въздействие върху риска и следят за неговото спазване. Резултатите от оценките на риска и остатъчните рискове се приемат от управителните органи или, когато е приложимо, от лицата, които са отговорни и имат правомощия да управляват рисковете, при условие че съответните субекти гарантират подходящо докладване на управителните органи. |
2.1.2. |
За целите на точка 2.1.1 съответните субекти създават процедури за установяване, анализ, оценка и въздействие върху рисковете („процес на управление на риска в областта на киберсигурността“). Процесът на управление на риска в областта на киберсигурността е неразделна част от цялостния процес на управление на риска на съответните субекти, когато е приложимо. Като част от процеса на управление на риска в областта на киберсигурността съответните субекти:
|
2.1.3. |
При установяването и приоритизирането на подходящите варианти и мерки за въздействие върху риска съответните субекти вземат предвид резултатите от оценката на риска, резултатите от процедурата за оценка на ефективността на мерките за управление на риска в областта на киберсигурността, разходите за изпълнение спрямо очакваните ползи, класификацията на активите, посочена в точка 12.1, и оценката на въздействието върху стопанската дейност, посочена в точка 4.1.3. |
2.1.4. |
Съответните субекти преразглеждат и, когато е целесъобразно, актуализират резултатите от оценката на риска и плана за въздействие върху риска през планирани интервали от време и поне веднъж годишно, както и при настъпване на значителни промени в операциите или рисковете или при значителни инциденти. |
2.2. Мониторинг на спазването на политиките
2.2.1. |
Съответните субекти извършват редовен преглед на спазването на своите политики за сигурност на мрежовите и информационните системи, както и на специфичните тематични политики, правила и стандарти. Управителните органи биват информирани за състоянието на мрежовата и информационната сигурност посредством редовни доклади, основани на прегледите на спазването на политиките. |
2.2.2. |
Съответните субекти въвеждат ефективна система за докладване за спазването на политиките, която е подходяща за техните структури, оперативна среда и картина на заплахите. Системата за докладване за спазването на политиките трябва да може да предоставя на управителните органи обоснована информация за текущото състояние на управлението на рисковете от страна на съответните субекти. |
2.2.3. |
Съответните субекти извършват мониторинг на спазването на политиките през планирани интервали от време и при възникване на значителни инциденти или значителни промени в операциите или рисковете. |
2.3. Независим преглед на информационната и мрежовата сигурност
2.3.1. |
Съответните субекти извършват независим преглед на своя подход към управлението на сигурността на мрежовите и информационните системи и неговото прилагане, включително на лицата, процесите и технологиите. |
2.3.2. |
Съответните субекти разработват и поддържат процеси за провеждане на независими прегледи, които се извършват от лица с подходящи одитни правомощия. Когато независимият преглед се извършва от членове на персонала на съответния субект, тези лица не трябва да са на подчинение на персонала от разглежданата област. Ако размерът на съответните субекти не позволява такава йерархична независимост, съответните субекти въвеждат алтернативни мерки, за да гарантират безпристрастността на прегледите. |
2.3.3. |
Резултатите от независимите прегледи, включително резултатите от мониторинга на спазването на политиките съгласно точка 2.2 и мониторинга и измерването съгласно точка 7, се докладват на управителните органи. Предприемат се коригиращи действия или се приемат остатъчните рискове в съответствие с критериите за приемане на риска на съответните субекти. |
2.3.4. |
Независимите прегледи се извършват през планирани интервали от време и при възникване на значителни инциденти или значителни промени в операциите или рисковете. |
3. Действия при инцидент (член 21, параграф 2, буква б) от Директива (ЕС) 2022/2555)
3.1. Политика за действия при инцидент
3.1.1. |
За целите на член 21, параграф 2, буква б) от Директива (ЕС) 2022/2555 съответните субекти създават и прилагат политика за действия при инцидент, в която се определят ролите, отговорностите и процедурите за своевременно откриване, анализиране, ограничаване на последствията или реагиране, възстановяване след инциденти, документиране и докладване на инциденти. |
3.1.2. |
Политиката, посочена в точка 3.1.1, се съгласува с плана за непрекъснатост на стопанската дейност и за възстановяване след бедствие, посочен в точка 4.1. Политиката включва:
|
3.1.3. |
Ролите, отговорностите и процедурите, определени в политиката, се изпитват и преразглеждат и, когато е необходимо, се актуализират през планирани интервали от време и след значителни инциденти или значителни промени в операциите или рисковете. |
3.2. Мониторинг и водене на регистри
3.2.1. |
Съответните субекти определят процедури и използват инструменти за мониторинг и регистриране на дейностите в техните мрежови и информационни системи, за да откриват събития, които могат да се считат за инциденти, и да реагират по подходящ начин за намаляване на последствията. |
3.2.2. |
Доколкото е възможно, мониторингът е автоматизиран и се извършва непрекъснато или на периодични интервали, в зависимост от възможностите на предприятието. Съответните субекти осъществяват своите дейности по мониторинг по начин, който свежда до минимум фалшивите положителни и фалшивите отрицателни резултати. |
3.2.3. |
Въз основа на процедурите, посочени в точка 3.2.1, съответните субекти водят регистри, които те документират и преглеждат. Съответните субекти изготвят списък на активите, които подлежат на регистриране, въз основа на резултатите от оценката на риска, извършена съгласно точка 2.1. Когато е целесъобразно, регистрите включват:
|
3.2.4. |
Регистрите се преглеждат редовно за всякакви необичайни или нежелани тенденции. Когато е целесъобразно, съответните субекти определят подходящи стойности за праговете на сигнализация. Ако установените стойности за прага на сигнализация бъдат надвишени, сигналът се задейства автоматично, когато е необходимо. Съответните субекти гарантират, че в случай на сигнал реакцията е своевременна, квалифицирана и съобразена. |
3.2.5. |
Съответните субекти водят и архивират регистри за предварително определен период от време и ги защитават от непозволен достъп или промени. |
3.2.6. |
Доколкото е възможно, съответните субекти гарантират, че всички системи разполагат със синхронизирани източници на време, за да могат да съпоставят регистрите между системите за целите на оценката на събития. Съответните субекти изготвят и съхраняват списък на всички активи, които се регистрират, и гарантират, че системите за мониторинг и водене на регистри са обект на резервиране. Разполагаемостта на системите за мониторинг и водене на регистри се следи независимо от системите, които те наблюдават. |
3.2.7. |
Процедурите, както и списъкът на активите, които се регистрират, се преразглеждат и, когато е целесъобразно, актуализират през редовни интервали от време и след значителни инциденти. |
3.3. Докладване за събития
3.3.1. |
Съответните субекти въвеждат прост механизъм, който позволява на техните служители, доставчици и клиенти да докладват за подозрителни събития. |
3.3.2. |
Съответните субекти, когато е целесъобразно, съобщават механизма за докладване за събития на своите доставчици и клиенти и провеждат регулярно обучение на служителите си как да използват този механизъм. |
3.4. Оценка и класификация на събитията
3.4.1. |
Съответните субекти оценяват подозрителните събития, за да определят дали те представляват инциденти и, ако това е така, определят тяхното естество и тежест. |
3.4.2. |
За целите на точка 3.4.1 съответните субекти действат по следния начин:
|
3.5. Реакция при инциденти
3.5.1. |
Съответните субекти реагират при инциденти своевременно и в съответствие с документираните процедури. |
3.5.2. |
Процедурите за реагиране при инциденти включват следните етапи:
|
3.5.3. |
Съответните субекти изготвят планове и процедури за комуникация:
|
3.5.4. |
Съответните субекти регистрират дейностите по реагиране при инциденти в съответствие с процедурите, посочени в точка 3.2.1, и записват доказателствата. |
3.5.5. |
Съответните субекти изпитват през планирани интервали от време своите процедури за реагиране при инциденти. |
3.6. Последващи прегледи след инциденти
3.6.1. |
Когато е целесъобразно, съответните субекти извършват последващи прегледи след възстановяването от инциденти. По време на тези прегледи се определя, когато е възможно, първопричината за инцидента, след което се документират извлечените поуки за намаляване на появата и последиците от бъдещи инциденти. |
3.6.2. |
Съответните субекти гарантират, че последващите прегледи след възникнали инциденти допринасят за подобряване на техния подход към мрежовата и информационната сигурност, към мерките за въздействие върху риска и към процедурите за действия при инциденти, откриване на инциденти и реагиране при инциденти. |
3.6.3. |
Ако след възникнали инциденти трябва да бъдат извършени последващи прегледи, съответните субекти извършват тези прегледи през планирани интервали от време. |
4. Непрекъснатост на стопанската дейност и управление на кризи (член 21, параграф 2, буква в) от Директива (ЕС) 2022/2555)
4.1. План за непрекъснатост на стопанската дейност и за възстановяване след бедствие
4.1.1. |
За целите на член 21, параграф 2, буква в) от Директива (ЕС) 2022/2555 съответните субекти изготвят и поддържат план за непрекъснатост на стопанската дейност и за възстановяване след бедствие, който да се прилага в случай на инциденти. |
4.1.2. |
Операциите на съответните субекти се възстановяват в съответствие с плана за непрекъснатост на стопанската дейност и за възстановяване след бедствие. Планът се основава на резултатите от оценката на риска, извършена съгласно точка 2.1, и включва, когато е целесъобразно, следното:
|
4.1.3. |
Съответните субекти извършват оценка на въздействието върху стопанската дейност, за да оценят потенциалното въздействие на сериозните прекъсвания на своите стопански операции, и въз основа на резултатите от тази оценка определят изискванията за непрекъснатост на мрежовите и информационните системи. |
4.1.4. |
Планът за непрекъснатост на стопанската дейност и планът за възстановяване след бедствие се изпитват, преразглеждат и, когато е целесъобразно, се актуализират през планирани интервали от време и след значителни инциденти или значителни промени в операциите или рисковете. Съответните субекти гарантират, че в плановете са включени поуките, извлечени от тези изпитвания. |
4.2. Управление на резервните копия и резервните ресурси
4.2.1. |
Съответните субекти поддържат резервни копия на данните и осигуряват достатъчно налични ресурси, включително съоръжения, мрежови и информационни системи и персонал, за да осигурят подходящо ниво на резервиране. |
4.2.2. |
Въз основа на резултатите от оценката на риска, извършена съгласно точка 2.1, и плана за непрекъснатост на стопанската дейност съответните субекти изготвят резервни планове, които включват следното:
|
4.2.3. |
Съответните субекти извършват редовни проверки на целостта на резервните копия. |
4.2.4. |
Въз основа на резултатите от оценката на риска, извършена съгласно точка 2.1, и плана за непрекъснатост на стопанската дейност съответните субекти осигуряват достатъчна наличност на ресурси чрез поне частично резервиране на следното:
|
4.2.5. |
Когато е целесъобразно, съответните субекти гарантират, че наблюдението и съразмерността на ресурсите, включително на съоръженията, системите и персонала, са надлежно съобразени с изискванията за архивиране и резервиране. |
4.2.6. |
Съответните субекти провеждат редовни изпитвания на възстановяването на резервните копия и резервните ресурси, за да се гарантира, че при възстановяване може да се разчита на тях и че те покриват копията, процесите и знанията за извършване на ефективно възстановяване. Съответните субекти документират резултатите от изпитванията и, когато е целесъобразно, предприемат коригиращи действия. |
4.3. Управление на кризи
4.3.1. |
Съответните субекти въвеждат процес за управление на кризи. |
4.3.2. |
Те гарантират, че процесът за управление на кризи обхваща най-малко следните елементи:
За целите на буква б) потокът от информация между съответните субекти и съответните компетентни органи включва както задължителни съобщения, като например доклади за инциденти и свързаните с тях графици, така и незадължителни съобщения. |
4.3.3. |
Съответните субекти прилагат процес за управление и използване на информацията, получена от ЕРИКС или, когато е приложимо, от компетентните органи, относно инциденти, уязвимости, заплахи или мерки за смекчаване. |
4.3.4. |
Съответните субекти изпитват, преразглеждат и, когато е целесъобразно, актуализират плана за управление на кризи редовно или след значителни инциденти или при значителни промени в операциите или рисковете. |
5. Сигурност на веригата за доставка (член 21, параграф 2, буква г) от Директива (ЕС) 2022/2555)
5.1. Политика за сигурност на веригата за доставка
5.1.1. |
За целите на член 21, параграф 2, буква г) от Директива (ЕС) 2022/2555 съответните субекти създават, въвеждат и прилагат политика за сигурност на веригата за доставка, с която се уреждат отношенията с техните преки снабдители и доставчици на услуги с цел намаляване на установените рискове за сигурността на мрежовите и информационните системи. В политиката за сигурност на веригата за доставка съответните субекти определят ролята си във веригата за доставка и я съобщават на своите преки снабдители и доставчици на услуги. |
5.1.2. |
Като част от политиката за сигурност на веригата за доставка, посочена в точка 5.1.1, съответните субекти определят критерии за подбор и сключване на договори със снабдители и доставчици на услуги. Тези критерии включват следното:
|
5.1.3. |
При определянето на своята политика за сигурност на веригата за доставка съответните субекти вземат предвид резултатите от съответните координирани оценки на риска за сигурността на критичните вериги за доставка, извършвани в съответствие с член 22, параграф 1 от Директива (ЕС) 2022/2555; |
5.1.4. |
Въз основа на политиката за сигурност на веригата за доставка и като се вземат предвид резултатите от оценката на риска, извършена в съответствие с точка 2.1 от настоящото приложение, съответните субекти гарантират, че в договорите им със снабдителите и доставчиците на услуги е посочено, когато е целесъобразно чрез клаузи за нивото на обслужване, следното:
|
5.1.5. |
Съответните субекти вземат предвид елементите, посочени в точки 5.1.2 и 5.1.3, като част от процеса на подбор на нови снабдители и доставчици на услуги, както и като част от процеса на снабдяване, посочен в точка 6.1. |
5.1.6. |
Съответните субекти преразглеждат политиката за сигурност на веригата за доставка и наблюдават, оценяват и, когато е необходимо, реагират на промените в практиките в областта на киберсигурността на снабдителите и доставчиците на услуги през планирани интервали от време и при настъпване на значителни промени в операциите или рисковете или при значителни инциденти, свързани с предоставянето на ИКТ услуги или оказващи въздействие върху сигурността на ИКТ продуктите от снабдителите и доставчиците на услуги. |
5.1.7. |
За целите на точка 5.1.6 съответните субекти:
|
5.2. Регистър на снабдителите и доставчиците на услуги
Съответните субекти водят и актуализират регистър на своите преки снабдители и доставчици на услуги, включително:
а) |
звена за контакт на всеки пряк снабдител и доставчик на услуги; |
б) |
списък на ИКТ продуктите, ИКТ услугите и ИКТ процесите, предоставени от прекия снабдител или доставчик на услуги на съответните субекти. |
6. Сигурност при придобиването на мрежови и информационни системи, разработване и поддръжка (член 21, параграф 2, буква д) от Директива (ЕС) 2022/2555)
6.1. Сигурност при придобиването на ИКТ услуги или ИКТ продукти
6.1.1. |
За целите на член 21, параграф 2, буква д) от Директива (ЕС) 2022/2555 съответните субекти установяват и прилагат процеси за управление на рисковете, произтичащи от придобиването на ИКТ услуги или ИКТ продукти за компоненти от критично значение за сигурността на мрежовите и информационните системи на съответните субекти, съгласно оценката на риска по точка 2.1, от снабдители или доставчици на услуги през целия им жизнен цикъл. |
6.1.2. |
За целите на точка 6.1.1. процесите, посочени в точка 6.1.1., включват:
|
6.1.3. |
Съответните субекти преразглеждат и, когато е целесъобразно, актуализират процесите през планирани интервали от време и при възникване на значителни инциденти. |
6.2. Жизнен цикъл на сигурно разработване
6.2.1. |
Преди да разработят мрежова и информационна система, включително софтуер, съответните субекти определят правила за сигурно разработване на мрежови и информационни системи и ги прилагат при вътрешно разработване на мрежови и информационни системи или при възлагане на разработването на мрежови и информационни системи на външни изпълнители. Правилата обхващат всички етапи на разработване, включително спецификация, проектиране, разработване, внедряване и изпитване. |
6.2.2. |
За целите на точка 6.2.1 съответните субекти:
|
6.2.3. |
За възложеното на външни изпълнители разработване на мрежови и информационни системи съответните субекти прилагат също така политиките и процедурите, посочени в точки 5 и 6.1. |
6.2.4. |
Съответните субекти преразглеждат и, когато е необходимо, актуализират своите правила за сигурно разработване през планирани интервали от време. |
6.3. Управление на конфигурациите
6.3.1. |
Съответните субекти предприемат подходящи мерки за установяване, документиране, прилагане и наблюдение на конфигурациите, включително конфигурациите за сигурност на хардуера, софтуера, услугите и мрежите. |
6.3.2. |
За целите на точка 6.3.1 съответните субекти:
|
6.3.3. |
Съответните субекти преразглеждат и, когато е целесъобразно, актуализират конфигурациите през планирани интервали от време или при възникване на значителни инциденти или значителни промени в операциите или рисковете. |
6.4. Управление на промените, ремонти и поддръжка
6.4.1. |
Съответните субекти прилагат процедури за управление на промените, за да контролират промените в мрежовите и информационните системи. Когато е приложимо, процедурите трябва да са в съответствие с общите политики на съответните субекти по отношение на управлението на промените. |
6.4.2. |
Процедурите, посочени в точка 6.4.1, се прилагат за версии, модификации и спешни промени на всеки софтуер и хардуер в експлоатация, както и за промени в конфигурацията. Процедурите гарантират, че тези промени се документират и, въз основа на оценката на риска по точка 2.1, се изпитват и оценяват с оглед на потенциалното въздействие, преди да бъдат въведени. |
6.4.3. |
В случай че редовните процедури за управление на промените не могат да бъдат спазени поради извънредна ситуация, съответните субекти документират резултата от промяната и обяснението защо процедурите не са могли да бъдат спазени. |
6.4.4. |
Съответните субекти преразглеждат и, когато е целесъобразно, актуализират процедурите през планирани интервали от време и при значителни инциденти или значителни промени в операциите или рисковете. |
6.5. Изпитване на сигурността
6.5.1. |
Съответните субекти създават, внедряват и прилагат политика и процедури за изпитване на сигурността. |
6.5.2. |
Съответните субекти:
|
6.5.3. |
Съответните субекти преразглеждат и, когато е целесъобразно, актуализират своите политики за изпитване на сигурността през планирани интервали от време. |
6.6. Управление на корекциите за сигурност
6.6.1. |
Съответните субекти определят и прилагат процедури, съгласувани с процедурите за управление на промените, посочени в точка 6.4.1, както и с процедурите за управление на уязвимостите, управление на риска и други съответни процедури за управление, за да гарантират, че:
|
6.6.2. |
Чрез дерогация от точка 6.6.1, буква а) съответните субекти могат да решат да не прилагат корекции за сигурност, когато отрицателните последствия от прилагането на тези корекции надвишават ползите за киберсигурността. Съответните субекти надлежно документират и обосновават причините за всяко такова решение. |
6.7. Мрежова сигурност
6.7.1. |
Съответните субекти предприемат подходящи мерки за защита на своите мрежови и информационни системи от киберзаплахи. |
6.7.2. |
За целите на точка 6.7.1 съответните субекти:
|
6.7.3. |
Съответните субекти преразглеждат и, когато е целесъобразно, актуализират тези мерки през планирани интервали от време и при възникване на значителни инциденти или значителни промени в операциите или рисковете. |
6.8. Сегментиране на мрежата
6.8.1. |
Съответните субекти разделят системите на мрежи или зони в съответствие с резултатите от оценката на риска, посочена в точка 2.1. Те отделят своите системи и мрежи от системите и мрежите на трети страни. |
6.8.2. |
За тази цел съответните субекти:
|
6.8.3. |
Съответните субекти преразглеждат и, когато е целесъобразно, актуализират сегментирането на мрежата през планирани интервали от време и при значителни инциденти или значителни промени в операциите или рисковете. |
6.9. Защита срещу зловреден и неразрешен софтуер
6.9.1. |
Съответните субекти защитават своите мрежови и информационни системи от зловреден и неразрешен софтуер. |
6.9.2. |
За тази цел съответните субекти прилагат по-специално мерки, за откриване или предотвратяване на използването на зловреден или неразрешен софтуер. Когато е целесъобразно, съответните субекти гарантират, че техните мрежови и информационни системи са оборудвани със софтуер за откриване и реагиране, който се актуализира редовно в съответствие с оценката на риска, извършена съгласно точка 2.1, и договорните споразумения с доставчиците. |
6.10. Предприемане на действия при уязвимости и оповестяването им
6.10.1. |
Съответните субекти получават информация за техническите уязвимости в своите мрежови и информационни системи, оценяват доколко са незащитени от такива уязвимости и предприемат подходящи мерки за управление на уязвимостите. |
6.10.2. |
За целите на точка 6.10.1 съответните субекти:
|
6.10.3. |
Когато това е обосновано от потенциалните последствия от дадена уязвимост, съответните субекти създават и изпълняват план за нейното ограничаване. В други случаи съответните субекти документират и обосновават причината, поради която уязвимостта не се нуждае от отстраняване. |
6.10.4. |
Съответните субекти преразглеждат и, когато е целесъобразно, актуализират през планирани интервали от време каналите, които използват за наблюдение на информацията за уязвимостите. |
7. Политики и процедури за оценяване на ефективността на мерките за управление на риска в областта на киберсигурността (член 21, параграф 2, буква е) от Директива (ЕС) 2022/2555)
7.1. |
За целите на член 21, параграф 2, буква е) от Директива (ЕС) 2022/2555 съответните субекти създават, въвеждат и прилагат политика и процедури за оценка на това дали мерките за управление на риска в областта на киберсигурността, предприети от съответния субект, се прилагат и поддържат ефективно. |
7.2. |
В политиката и процедурите, посочени в точка 7.1, се вземат предвид резултатите от оценката на риска съгласно точка 2.1 и минали значителни инциденти. Съответните субекти определят:
|
7.3. |
Съответните субекти преразглеждат и, когато е целесъобразно, актуализират политиката и процедурите през планирани интервали от време и при значителни инциденти или значителни промени в операциите или рисковете. |
8. Основни киберхигиенни практики и обучение в областта на киберсигурността (член 21, параграф 2, буква ж) от Директива (ЕС) 2022/2555)
8.1. Повишаване на осведомеността и основни киберхигиенни практики
8.1.1. |
За целите на член 21, параграф 2, буква ж) от Директива (ЕС) 2022/2555 съответните субекти гарантират, че техните служители, включително членовете на управителните органи, както и преките снабдители и доставчици на услуги, са наясно с рисковете, информирани са за значението на киберсигурността и прилагат киберхигиенни практики. |
8.1.2. |
За целите на точка 8.1.1 съответните субекти предлагат на своите служители, включително на членовете на управителните органи, както и на преките снабдители и доставчици на услуги, когато това е целесъобразно в съответствие с точка 5.1.4, програма за повишаване на осведомеността, която:
|
8.1.3. |
Когато е целесъобразно, програмата за повишаване на осведомеността се изпитва по отношение на нейната ефективност. Програмата за повишаване на осведомеността се актуализира и предлага през планирани интервали от време, като се вземат предвид промените в киберхигиенните практики, както и текущата картина на заплахите и рисковете за съответните субекти. |
8.2. Обучение в областта на сигурността
8.2.1. |
Съответните субекти определят служителите, чиито роли изискват умения и експертни познания в областта на сигурността, и гарантират, че те преминават редовно обучение по сигурност на мрежовите и информационните системи. |
8.2.2. |
Съответните субекти създават, изпълняват и прилагат програма за обучение в съответствие с политиката за мрежова и информационна сигурност, специфичните тематични политики и други съответни процедури за мрежова и информационна сигурност, с която се определят нуждите от обучение за определени роли и длъжности въз основа на дадени критерии. |
8.2.3. |
Обучението, посочено в точка 8.2.1, е свързано със служебните функции на служителя и неговата ефективност се оценява. При обучението се вземат предвид съществуващите мерки за сигурност и се обхваща следното:
|
8.2.4. |
Съответните субекти провеждат обучение за членовете на персонала, които се прехвърлят на нови длъжности или роли, изискващи умения и експертен опит в областта на сигурността. |
8.2.5. |
Програмата се актуализира и изпълнява периодично, като се вземат предвид приложимите политики и правила, възложените роли и отговорности, както и известните киберзаплахи и технологично развитие. |
9. Криптография (член 21, параграф 2, буква з) от Директива (ЕС) 2022/2555
9.1. |
За целите на член 21, параграф 2, буква з) от Директива (ЕС) 2022/2555 съответните субекти създават, въвеждат и прилагат политика и процедури, свързани с криптографията, с цел да осигурят адекватно и ефективно използване на криптографията за защита на поверителността, автентичността и целостта на данните в съответствие с класификацията на активите на съответните субекти и резултатите от оценката на риска, извършена съгласно точка 2.1. |
9.2. |
В политиката и процедурите, посочени в точка 9.1, се установява следното:
|
9.3. |
Съответните субекти преразглеждат и, когато е целесъобразно, актуализират своята политика и процедури през планирани интервали от време, като вземат предвид най-новите постижения в областта на криптографията. |
10. Сигурност на човешките ресурси (член 21, параграф 2, буква и) от Директива (ЕС) 2022/2555)
10.1. Сигурност на човешките ресурси
10.1.1. |
За целите на член 21, параграф 2, буква и) от Директива (ЕС) 2022/2555 съответните субекти гарантират, че техните служители и преки снабдители и доставчици на услуги, когато е приложимо, разбират и се ангажират със своите отговорности в областта на сигурността, както е целесъобразно по отношение на предлаганите услуги и служебните функции и в съответствие с политиката на съответните субекти относно сигурността на мрежовите и информационните системи. |
10.1.2. |
Изискването, посочено в точка 10.1.1, включва следното:
|
10.1.3. |
През планирани интервали от време и поне веднъж годишно съответните субекти преразглеждат възлагането на конкретни роли на персонала, както е посочено в точка 1.2, както и ангажираността на човешките ресурси в това отношение. При необходимост възложените роли се актуализират. |
10.2. Цялостна проверка
10.2.1. |
Съответните субекти гарантират, доколкото е възможно, цялостна проверка на своите служители и, когато е приложимо, на преките снабдители и доставчици на услуги в съответствие с точка 5.1.4, ако това е необходимо за техните роли, отговорности и разрешения. |
10.2.2. |
За целите на точка 10.2.1 съответните субекти:
|
10.2.3. |
Съответните субекти преразглеждат и по целесъобразност актуализират политиката през планирани интервали от време и когато е необходимо. |
10.3. Процедури за прекратяване или промяна на трудово правоотношение
10.3.1. |
Съответните субекти гарантират, че отговорностите и задълженията, свързани със сигурността на мрежовите и информационните системи, които остават валидни след прекратяване или промяна на трудовите правоотношения с техните служители, са договорно определени и се прилагат. |
10.3.2. |
За целите на точка 10.3.1. съответните субекти включват в условията за наемане на работа, договора или споразумението на лицето отговорностите и задълженията, които остават валидни след прекратяване на трудовото правоотношение или договора, като например клаузите за поверителност. |
10.4. Дисциплинарна процедура
10.4.1. |
Съответните субекти установяват, съобщават и поддържат дисциплинарна процедура за разглеждане на нарушения на политиките за сигурност на мрежовите и информационните системи. В процедурата се вземат предвид съответните правни, законови, договорни и стопански изисквания. |
10.4.2. |
Съответните субекти преразглеждат и, когато е целесъобразно, актуализират дисциплинарната процедура през планирани интервали от време и когато това е необходимо поради правни промени или поради значителни промени в операциите или рисковете. |
11. Контрол на достъпа (член 21, параграф 2, букви и) и й) от Директива (ЕС) 2022/2555)
11.1. Политика на контрол на достъпа
11.1.1. |
За целите на член 21, параграф 2, буква и) от Директива (ЕС) 2022/2555 съответните субекти установяват, документират и прилагат политики за контрол на логическия и физическия достъп до своите мрежови и информационни системи въз основа на стопанските изисквания, както и на изискванията за сигурност на мрежовите и информационните системи. |
11.1.2. |
Политиките, посочени в точка 11.1.1:
|
11.1.3. |
Съответните субекти преразглеждат и, когато е целесъобразно, актуализират политиките през планирани интервали от време и при възникване на значителни инциденти или значителни промени в операциите или рисковете. |
11.2. Управление на правата на достъп
11.2.1. |
Съответните субекти предоставят, променят, премахват и документират права на достъп до мрежовите и информационните системи в съответствие с политиката за контрол на достъпа, посочена в точка 11.1. |
11.2.2. |
Съответните субекти:
|
11.2.3. |
Съответните субекти преразглеждат правата на достъп през планирани интервали от време и ги променят в зависимост от промените в организацията. Съответните субекти документират резултатите от прегледа, включително необходимите промени в правата на достъп. |
11.3. Привилегировани профили и профили за системно администриране
11.3.1. |
Съответните субекти поддържат политики за управление на привилегировани профили и профили за системно администриране като част от политиката за контрол на достъпа, посочена в точка 11.1. |
11.3.2. |
Политиките, посочени в точка 11.3.1:
|
11.3.3. |
Съответните субекти преразглеждат правата на достъп до привилегировани профили и профили за системно администриране през планирани интервали от време и ги променят в зависимост от организационните промени, като документират резултатите от прегледа, включително необходимите промени в правата на достъп. |
11.4. Системи за администриране
11.4.1. |
Съответните субекти ограничават и контролират използването на системите за системно администриране в съответствие с политиката за контрол на достъпа, посочена в точка 11.1. |
11.4.2. |
За тази цел съответните субекти:
|
11.5. Идентификация
11.5.1. |
Съответните субекти управляват пълния жизнен цикъл на самоличностите на мрежовите и информационните системи и на техните ползватели. |
11.5.2. |
За тази цел съответните субекти:
|
11.5.3. |
Съответните субекти разрешават присвояването на една самоличност на няколко лица, като например споделена самоличност, само когато това е необходимо по стопански или оперативни причини и този вид самоличност подлежи на изричен процес на одобрение и документиране. Съответните субекти вземат предвид самоличностите, присвоени на няколко лица, в рамката за управлението на риска в областта на киберсигурността, посочена в точка 2.1. |
11.5.4. |
Съответните субекти редовно преглеждат самоличностите на мрежовите и информационните системи и на техните ползватели и, ако вече не са необходими, незабавно ги деактивират. |
11.6. Удостоверяване на автентичността
11.6.1. |
Съответните субекти прилагат сигурни процедури и технологии за удостоверяване на автентичността, основани на ограничения на достъпа и политиката за контрол на достъпа. |
11.6.2. |
За тази цел съответните субекти:
|
11.6.3. |
Съответните субекти използват, доколкото е възможно, най-съвременни методи за удостоверяване на автентичността в съответствие със свързания с това оценен риск и класификацията на актива, до който ще се осъществява достъп, както и уникална информация за удостоверяване на автентичността. |
11.6.4. |
Съответните субекти преразглеждат процедурите и технологиите за удостоверяване на автентичността през планирани интервали от време. |
11.7. Многофакторно удостоверяване на автентичността
11.7.1. |
Съответните субекти гарантират, че ползвателите се удостоверяват чрез множество фактори за удостоверяване на автентичността или механизми за непрекъснато удостоверяване на автентичността за достъп до мрежовите и информационните системи на съответните субекти, когато е целесъобразно, в съответствие с класификацията на актива, до който се осъществява достъп. |
11.7.2. |
Съответните субекти гарантират, че нивото на удостоверяване на автентичността е подходящо за класификацията на актива, до който се осъществява достъп; |
12. Управление на активи (член 21, параграф 2, буква и) от Директива (ЕС) 2022/2555)
12.1. Класификация на активите
12.1.1. |
За целите на член 21, параграф 2, буква и) от Директива (ЕС) 2022/2555 съответните субекти определят нива на класификация на всички активи, включително информация, в обхвата на техните мрежови и информационни системи за необходимото ниво на защита. |
12.1.2. |
За целите на точка 12.1.1 съответните субекти:
|
12.1.3. |
Съответните субекти извършват периодични прегледи на нивата на класификация на активите и ги актуализират, когато е необходимо. |
12.2. Боравене с активи
12.2.1. |
Съответните субекти създават, въвеждат и прилагат политика за правилно боравене с активи, включително информация, в съответствие със своята политика за мрежова и информационна сигурност и съобщават политиката за правилно боравене с активи на всички, които използват или боравят с активи. |
12.2.2. |
Политиката:
|
12.2.3. |
Съответните субекти преразглеждат и, когато е целесъобразно, актуализират политиката през планирани интервали от време и при възникване на значителни инциденти или значителни промени в операциите или рисковете. |
12.3. Политика за преносими носители за съхранение на данни
12.3.1. |
Съответните субекти създават, въвеждат и прилагат политика за управление на преносими носители за съхранение на данни и я съобщават на своите служители и трети страни, които боравят с такива носители в помещенията на съответните субекти или на други места, където преносимите носители за съхранение на данни са свързани с мрежовите и информационните системи на съответните субекти. |
12.3.2. |
Политиката:
|
12.3.3. |
Съответните субекти преразглеждат и, когато е целесъобразно, актуализират политиката през планирани интервали от време и при възникване на значителни инциденти или значителни промени в операциите или рисковете. |
12.4. Опис на активите
12.4.1. |
Съответните субекти разработват и поддържат пълен, точен, актуален и последователен опис на своите активи. Те записват промените на вписаната в описа информация по проследим начин. |
12.4.2. |
Степента на подробност на описа на активите трябва да бъде съобразена с нуждите на съответните субекти. Описът включва следното:
|
12.4.3. |
Съответните субекти редовно преглеждат и актуализират описа и своите активи и документират историята на промените. |
12.5. Депозиране, връщане или заличаване на активи при прекратяване на трудово правоотношение
Съответните субекти установяват, изпълняват и прилагат процедури, с които се гарантира, че активите им, съхранявани от персонала, се депозират, връщат или заличават при прекратяване на трудовото правоотношение, като депозирането, връщането и заличаването на тези активи се документира. Когато депозирането, връщането или заличаването на активите е невъзможно, съответните субекти гарантират, че активите вече нямат достъп до мрежовите и информационните системи на съответните субекти в съответствие с точка 12.2.2.
13. Защита от събития с природен характер и физическа сигурност (член 21, параграф 2, букви в), д) и и) от Директива (ЕС) 2022/2555)
13.1. Поддържащи комунални услуги
13.1.1. |
За целите на член 21, параграф 2, буква в) от Директива (ЕС) 2022/2555 съответните субекти предотвратяват загубата, повредата или компрометирането на мрежовите и информационните системи или прекъсването на техните операции поради авария и прекъсване на поддържащите комунални услуги. |
13.1.2. |
За тази цел съответните субекти, когато е целесъобразно:
|
13.1.3. |
Съответните субекти изпитват, преразглеждат и, когато е целесъобразно, актуализират мерките за защита редовно или след значими инциденти или при значителни промени в операциите или рисковете. |
13.2. Защита срещу физически и природни заплахи
13.2.1. |
За целите на член 21, параграф 2, буква д) от Директива (ЕС) 2022/2555 съответните субекти предотвратяват или ограничават последствията от събития, произтичащи от физически и природни заплахи, като например природни бедствия и други умишлени или неумишлени заплахи, въз основа на резултатите от оценката на риска, извършена съгласно точка 2.1. |
13.2.2. |
За тази цел съответните субекти, когато е целесъобразно:
|
13.2.3. |
Съответните субекти изпитват, преразглеждат и, когато е целесъобразно, актуализират мерките за защита срещу физически и природни заплахи редовно или след значими инциденти или при значителни промени в операциите или рисковете. |
13.3. Контрол на достъпа до периметъра и на физическия достъп
13.3.1. |
За целите на член 21, параграф 2, буква и) от Директива (ЕС) 2022/2555 съответните субекти предотвратяват и следят за непозволен физически достъп, повреда и намеса в своите мрежови и информационни системи. |
13.3.2. |
За тази цел съответните субекти:
|
13.3.3. |
Съответните субекти изпитват, преразглеждат и, когато е целесъобразно, актуализират мерките за контрол на физическия достъп редовно или след значими инциденти или при значителни промени в операциите или рисковете. |
ELI: http://data.europa.eu/eli/reg_impl/2024/2690/oj
ISSN 1977-0618 (electronic edition)