March 22, 2023

Новата директива за киберсигурност предвижда санкции, сходни с тези по GDPR

Директивата, която трябва да се въведе в България не по-късно от 17 октомври 2024 г., създава нови задължения за фирми и организации

На 16 януари 2023 г. влезе в сила преработената директива на ЕС за киберсигурността - Директива (ЕС) 2022/2555 (известна като Network and Information Security Directive- NIS2), с която се създава модернизирана и по-хармонизирана рамка за киберсигурност за организациите в рамките на Европейския съюз. NIS 2 разширява обхвата на приложение и вече включва общо 18 сектора, разделени в две категории. Това, което e от значение за всички фирми и организации, които ще засегне, а те не са малко, е, че директивата трябва да се въведе в България не по-късно от 17 октомври 2024 г., а размерите на санкциите по нея са сходни с тези по GDPR.

А. Сектори с висока степен на критичност като:

  • енергетика (електроенергия, районно отопление и охлаждане, нефт, природен газ и водород);
  • транспорт (въздушен, железопътен, воден и автомобилен);
  • банков сектор и инфраструктури на финансовия пазар
  • здравеопазване, включително производство на фармацевтични продукти, в това число ваксини;
  • питейна вода и отпадъчна вода
  • цифровата инфраструктура като: телекоми, доставчици на облачни услуги, центрове за данни, доставчици на удостоверителни услуги и др.
  • управление на ИКТ услуги.

Б. Други критични сектори като:

  • пощенски и куриерски услуги;
  • управление на отпадъците;
  • химикали и храни;
  • производство на медицински изделия, компютри и електроника, машини и оборудване, моторни превозни средства, ремаркета и полуремаркета и друго транспортно оборудване;
  • доставчици на цифрови услуги (онлайн места за търговия, онлайн търсачки и платформи на услуги за социални мрежи).

В обхвата на NIS 2 ще попада всяко средно и голямо предприятие (с други думи – компаниите с повече от 50 служители или с годишен оборот над 10 млн. евро) от посочените сектори.

Това на практика означава, че всяка компания от изрично изброените сектори с над 50 служители ще трябва да съобрази дейността си с набор от технически, оперативни и организационни мерки, които не са свойствени за ежедневната ѝ търговска дейност. Например доставчиците на куриерски услуги, банки, здравни заведения, компании от транспортния сектор (въздушни превозвачи), производителите на храни (зеленчуци, консервирана храна, сладкарски изделия, детски и бебешки храни и т.н.), доставчици и дистрибутори на водa, доставчици на софтуерни услуги и редица други ще попаднат в обхвата на NIS 2. Всички тези компании ще трябва да приведат дейността си в съответствие с изискванията на новата нормативна уредба.

Някои компании освен това ще попаднат в обхвата на новите правила и независимо от размера си, например: телекомуникационни оператори, доставчици на удостоверителни услуги, доставчици на DNS (система за имена на домейни услуги) и други. Държавите членки ще имат право да определят и други субекти (ако дейността им е особено важна), дори да не попадат в тези категории, а  ще могат и автоматично да определят операторите на съществени услуги (както вече са определени в България по NIS 1) като съществени субекти.

Въз основа на сектора и значението на субектите (компаниите) те ще бъдат класифицирани като:

а) съществени субекти (т.е. субектите от  сектора с висока степен на критичност, телекомите, доставчиците на облачни услуги и др.)

или

б) важни субекти – тук попадат субектите, попадащи в обхвата на NIS 2, но некласифицирани като съществени. Тази категория включва субектите от критичния сектор (с възможни изключения) – пощенски и куриерски услуги, химикали и храни, производители, доставчици на цифрови услуги и др.

Основното разграничение между двете категории ще бъде по отношение на надзорните и правоприлагащите мерки, както и на санкциите, които ще се прилагат за тях.

Защо е важно и трябва ли да ни вълнува изобщо?

Важно е, защото NIS 2 предвижда редица нови задължения, огромни санкции и минимален набор от мерки, които компаниите ще трябва да осигурят, например:

  • политики за контрол на достъпа;
  • процедури за действия при инцидент;
  • сигурност на веригата за доставка, включително свързани със сигурността аспекти относно взаимовръзките между всеки субект и неговите преки снабдители или доставчици на услуги;

- от субектите може да се изисква да вземат предвид уязвимостите, специфични за всеки пряк доставчик и лице, предоставящо услуги, както и цялостното качество на продуктите и практиките в областта на киберсигурността на своите доставчици, включително техните процедури за сигурно разработване;

  • използването на многофакторни решения за удостоверяване на автентичността, защитени гласови, видео и текстови съобщения и защитени системи за спешна комуникация в рамките на субекта, когато е целесъобразно;
  • киберхигиенни практики и обучение в областта на киберсигурността (напр. принципите на нулево доверие/zero-trust, софтуерни актуализации, конфигурация на устройства).
Докладване на значителни инциденти

Компаниите ще трябва да следват и нова многоетапна процедура по докладване на значителни инциденти на националния екип за реагиране при инциденти с компютърната сигурност (ЕРИКС). Тази процедура ще се състои от:

  • Първоначално уведомление в рамките на 24 часа; и
  • Повторно уведомление в рамките на 72 часа; и
  • Междинен доклад в някои случаи (при поискване), и
  • Окончателен доклад с допълнителна информация за инцидента в рамките на един месец.
  • В някои случаи може да се изисква и уведомяване на потенциално засегнатите потребители.

Важно за отбелязване тук е, че даден инцидент на практика ще може да бъде третиран като значителен дори когато е налице само вероятност да причини смущение в услугите на субекта или да засегне други лица, причинявайки значителни материални или нематериални вреди. Тоест, докладване ще е нужно понякога дори да не са настъпили вреди.

Предвид санкциите, които са в размери сходни на тези по GDPR, субектите следва да са наясно с това, тъй като и наглед малки инциденти биха могли да се окажат значителни, които подлежат на докладване (вж. по-долу за допълнително информация относно санкциите).

Други новости

Директивата въвежда още редица нововъведения, които споменаваме само накратко:

  • До 17 април 2025 г. държавите членки трябва да изготвят списък на съществените и важните субекти, както и на субектите, предоставящи услуги по регистрация на имена на домейни.
  • ENISA трябва да създаде и поддържа единен регистър на доставчиците на DNS услуги, регистрите на имена на домейни от първо ниво, субектите, предоставящи услуги за регистриране на имена на домейни, доставчиците на:
  1. компютърни услуги в облак
  2. центрове за данни
  3. доставчиците на мрежи за предоставяне на съдържание
  4. управлявани услуги
  5. управлявани услуги за сигурност
  6. както и доставчиците на онлайн места за търговия, на онлайн търсачки и на платформи на услуги за социални мрежи.

За тази цел до 17 януари 2025 г. тези субекти ще бъдат задължени да предоставят определен набор от информация на компетентния орган (напр. IP адреси, къде се предоставят регулираните услуги, данни за контакт и т.н.).

  • Регламентират се нови възможности за споразумения за обмен на информация. Те ще позволят на субектите да обменят на доброволна основа помежду си относима информация за киберсигурността (като е интересно да се види как това ще се случва на практика, за да се избегнат рискове от конкурентно-правна гледна точка).
  • Държавите членки ще изискват регистрите на имена на домейни от първо ниво и субектите, предоставящи услуги за регистрация на такива имена на домейни, надлежно да събират и поддържат точни и пълни данни за регистрацията на имената на домейни в специално предназначена база данни.
  • Агенцията на ЕС за киберсигурност (ENISA) ще получи нови правомощия и отговорности.
  • Държавите членки ще трябва да приемат национален план за управление на мащабни киберинциденти и кризи и да определят т.нар. орган за управление на киберкризи.
  • Механизъм за партньорски проверки за подобряване на способностите и политиките на държавите членки в областта на киберсигурността.
  • Ще бъде създадена нова Европейска мрежа за връзка на организациите при киберкризи (EU — CyCLONe), която ще действа като посредник между техническото и политическото равнище по време на мащабни киберинциденти и кризи в целия ЕС.
Инструментариум на ЕС за сигурност на веригата за доставки. Схеми за сертифициране на киберсигурността

NIS 2 предвижда извършването и на координирани оценки на риска за сигурността на критични ИКТ услуги, продукти и системи по веригата на доставки на равнище ЕС. При тези оценки ще трябва да се вземат предвид редица фактори, вкл. нетехнически рискови фактори, като в преамбюла на акта е обяснено, че последното включва фактори като „неправомерно влияние на трета държава върху снабдителите и доставчиците на услуги“.

Ето защо може да се очаква в близко бъдеще нов инструментариум на ниво ЕС за сигурността на веригата на доставки. Държавите членки ще трябва също и да насърчават използването на европейски и международни стандарти, като ще могат дори да изискват използването на ИКТ продукти, услуги и процеси, сертифицирани по европейски схеми за сертифициране на киберсигурността.

Надзор

Съществените субекти (напр. енергийни предприятия, телекоми и доставчици на облачни услуги) вече ще подлежат на всеобхватен предварителен и последващ контрол от компетентните органи, защото осъществяват дейности, които имат по-голяма степен на важност и критичност за обществото. Важни субекти (напр. пощенски и куриерски услуги, производители на химикали и храни) ще подлежат единствено на последващ надзор.

В България този орган се очаква да бъде Министерството на електронното управление, както е и сега по NIS 1, и вече ще има далеч по-сериозни правомощия за контрол по спазването на изискванията. Например: ще може да извършва проверки на място, дистанционни проверки, да изисква достъп до информация и документи, да извършва целеви одити на сигурността и др.

Юрисдикция

Основното правило е, че съществените и важни субекти ще попадат под юрисдикцията на държавите членки, в които са установени. Ако са установени в повече от една държава членка, те ще попадат под юрисдикцията на всяка от тях.

Въпреки това ще има изключения за някои субекти, за които NIS 2 (поне на първо четене) изглежда установява режим за обслужване на едно гише, например:

  • телекомите попадат под юрисдикцията на държавата членка, в която предоставят услугите си; и
  • трансгранични доставчици (напр. доставчиците на компютърни услуги „в облак“, доставчиците на услуги на центрове за данни, онлайн места за търговия, онлайн търсачки) попадат под юрисдикцията на държавата членка, в която се намира основното им място на установяване в ЕС.

Трансграничните доставчици, които предлагат услуги в ЕС, но не са установени там, пък ще трябва да определят представител в ЕС, който да е установен в една от държавите, в които се предлагат услугите (сходно на GDPR). При липса на представител в ЕС всяка държава членка, в която субектът предоставя услуги, може да предприеме правни действия срещу субекта.

Отговорност на управителните органи в лично качество

Управителните органи /физическите лица/ на съществени и важни субекти ще носят и лична отговорност за неспазване на NIS 2. Това е новост и е изрично предвидена като инструмент, който да гарантира, че ръководните/управителни органи в компаниите ще предприемат необходимите стъпки и действия да прилагат надлежно всички нови мерки. За тази цел от управителните органи ще се изисква да преминават специални обучения, а компаниите ще бъдат насърчавани да предлагат редовно подобни обучения на своите служители.

Колко ще ни заболи от нарушенията?

В NIS 2 са предвидени санкции, подобни на тези по GDPR:

  • Санкциите за съществените субекти ще достигат 10 млн. евро или 2% от техния световен годишен оборот;
  • Санкциите за важните субекти ще достигат 7 млн. евро или 1.4% от световния годишен оборот.

Държавите членки ще могат по тяхна преценка да въведат и по-висок максимален размер.

Наред с това, органите ще имат и други съществени правомощия:

  • да спрат/преустановят действието временно или да изискат временно преустановяване на действието на удостоверение или разрешение на субектите.
  • да забранят временно на ръководителите/управителите да изпълняват задълженията си.
  • да назначат временно длъжностно лице по надзор, който да следи за спазването на изискванията от страна на субектите.
Кога?

NIS 2 трябва да се въведе в България не по-късно от 17 октомври 2024 г.

Какви промени да очакваме в местното законодателство?

NIS 2 ще наложи промени в Закона за киберсигурност и съответните подзаконови нормативни актове, като ще е наложително и издаването на нови такива. Освен това се очаква преразглеждане на Закона за електронните съобщения и на Правилата за минималните изисквания за сигурност на обществените електронни съобщителни мрежи и услуги. Други секторни закони също ще трябва да бъдат изменени.

Основни изводи

Субектите трябва да започнат вътрешни процеси за оценка на своите продукти, услуги, верига за доставки и т.н. и да установят дали и кои от техните услуги попадат в обхвата на новите правила, включително:

  • да определят дали отговарят на критериите за класифициране като съществен или важен субект,
  • да установят пропуски и да извършат оценки на риска
  • да идентифицират юрисдикцията, в която попадат
  • да започнат да преглеждат и/или изготвят вътрешна документация, договори и процеси, вкл. за действията при докладване на инциденти
  • да идентифицират/организират обучения и одити, включително на управителните органи
  • да уведомят компетентния орган в срок до 17 януари 2025 г.

Никола Стойчев
Съдружник

Като бивш футболист, Никола е усвоил едни от най-важните принципи в адвокатската професия – истинския смисъл на отборната игра, отговорната роля на защитника и тънкостта на простото, но същевременно ефективно и елегантно изпълнение.

Свързани новини

Иновативни решения и грижа за клиента.
Свържете се с нас