NIS2 и бизнесът в България – задължения в съответствие с европейската регулация за киберсигурност

Директивата за мрежова и информационна сигурност (NIS – Network and Information Security Directive), приета през 2016 г., е основният законодателен акт на Европейския съюз (ЕС), насочен към повишаване на нивото на киберсигурност в държавите-членки. Повишеното ниво на заплахите за технологичната и информационната сигурност породиха необходимостта от приемането на актуализирана версия на директивата, чиито текстове да отговарят на съвременните предизвикателства пред киберсигурността.

Тази необходимост наложи приемането през 2023 г. на актуализираната версия на директивата, която нататък в настоящата статия ще наричаме за краткост NIS2. Тя модернизира съществуващата правна рамка, за да бъде в крак с нарастващата цифровизация и променящия се пейзаж на заплахите за киберсигурността. Чрез разширяване на обхвата на правилата за киберсигурност до нови сектори и субекти, това допълнително подобри устойчивостта и капацитета за реакция при инциденти на публичните и частните субекти, компетентните органи и ЕС като цяло. Срокът за транспониране на NIS2 в законодателствата на всички държави-членки изтече на 17.10.2024 г.

Към настоящия момент в България тези отношения се регулират със Закона за киберсигурност, обнародван в брой 94/2018 на ДВ, с който се транспонира Директива 2016/1148 на ЕС относно мерки за високо общо ниво на сигурност на мрежите и информационните системи (NIS) и с Наредба за минималните изисквания за мрежова и информационна сигурност.

NIS2 се прилага за по-широк обхват на сектори и услуги от тези в директивата от 2016 г. Докато NIS се прилага предимно за оператори на съществени услуги и доставчици на цифрови услуги, NIS2 премахва това разграничение и въвежда по-широката концепция за т.нар. „ключови“ и „основни“ субекти и на практика разширява видовете организации, които попадат в тези категории.

NIS 2 ясно изброява всички сектори (индустрии), които трябва да се съобразят с тази европейска директива за киберсигурност.

В обхвата на NIS2 попада всяко средно и голямо предприятие – компаниите с повече от 50 служители или с годишен оборот над 10 млн. евро от следните сектори: енергетика, здравеопазване, производство на медицинско оборудване, транспорт (въздушен, железопътен, автомобилен и воден), банково дело, публична администрация (централно управление и местни структури), пощенски и куриерски услуги, управление на отпадъците, производство и разпространение на химически продукти, производство, преработване и търговия с храни, доставчици на цифрови услуги, питейна вода и отпадъчни води, изследователски организации, наземни оператори на инфраструктура, цифрова инфраструктура и IT услуги (регистри на домейн имена, DNS, компютърни услуги в облак, доверителни услуги, центрове за данни и др.) и космически разработки.

NIS2 въвежда концепция за „Ключови“ и „Основни“ субекти като в сравнение с NIS разширява видовете организации, които попадат в тези категории.

На практика „Ключови субекти“ и „Основни субекти“ са това, което NIS 2 нарича компании и други организации, които трябва да спазват NIS 2.

NIS 2 дефинира ключовите субекти като компании, които са категоризирани като големи предприятия, които осъществяват дейност в някой от т.нар. критични сектори, както следва:

Енергетика;
Здравеопазване:
Банково дело;
Публична администрация;
Космически разработки;
Питейна вода и отпадъчни води;
Цифрова инфраструктура и IT услуги.

„Основни субекти“ са всички други организации, които не са категоризирани като ключови субекти, но осъществяват дейност на територията на държава-членка на ЕС, попадат в категорията на средните или големи предприятия и осъществяват някоя от следните дейности:

Пощенски и куриерски услуги;
Управление на отпадъци;
Производство и разпространение на химически продукти;
Производство, преработване и разпространение на храни;
Доставчици на цифрови услуги;
Изследователски организации;
Производство на медицинско оборудване.

Задължените субекти по NIS2 са задължени да осигурят следните мерки за гарантиране на киберсигурност:

Въвеждане на политики за оценка на риска – осигуряване на достъп до информационните системи само на упълномощени лица;
Управление на инциденти – въвеждане на политики за конкретни действия при инциденти;
Сигурност на веригата за доставки – оценка на практиките за сигурност на доставчиците;
Въвеждане на политики за контрол на достъпа – осигуряване на защитени системи за вътрешна комуникация и комуникация с трети страни;
Криптиране – защита на данните срещу неоторизиран достъп;
Информираност за киберсигурността – обучение на служителите за фишинг, сигурност на паролите и социално инженерство;
Редовно тестване и оценка – сканиране на уязвимостите в информационните системи, извършване на одити на сигурността;
Непрекъснатост на дейността и управление на риска
Управление на уязвимостта – актуализиране на софтуерните пачове срещу неоторизирано проникване в информационните системи;
Докладване на инциденти, свързани с киберсигурността.

Задължените субекти предоставят на националните контролните органи информация за „ранно предупреждение“ в рамките на 24 часа от узнаване за инцидента, уведомление за инцидент в рамките на 72 часа след узнаването на инцидента, първоначална оценка на инцидента, включително по отношение на неговата тежест и въздействие, междинен доклад при поискване и окончателен доклад не по-късно от един месец след подаване на уведомлението за инцидента. Окончателният доклад следва да включва подробно описание на инцидента, включително вероятната причина за инцидента, приложените смекчаващи мерки и всяко трансгранично въздействие на инцидента.

Неспазването на разпоредбите на NIS2 може да доведе до санкционирането както на съответното дружество, така и на ръководителите му. В NIS2 са предвидени санкции до 10 милиона евро или 2% от общия световен годишен оборот за ключовите субекти и до 7 милиона евро или най-малко 1,4 % за основните субекти, като при налагането им се предпочита по-голямата от двете суми. Наказания могат да бъдат наложени например за нарушение на данните, водещо до компрометиране на информация за клиенти. Това автоматично би довело до загуба на клиентско доверие и значително уронване на бизнес репутацията на компанията.

NIS2 e значителна стъпка напред в усилията на ЕС за създаване на по-сигурна цифрова среда. Въпреки че NIS2 налага нови предизвикателства пред бизнеса, дългосрочните ползи надвишават първоначалните препятствия.

Екипът на Адвокатско дружество „Тончева и партньори“ притежава дългогодишен опит в консултирането на бизнеса за постигане на нормативното съответствие и въвеждането на нови регулаторни изисквания на европейско и национално ниво. При нужда от консултация или допълнителна информация по повод повдигнатите въпроси в статията можете да се свържете с нас на имейла ни: office@modus.bg, на тел.: 0888 66 25 45, както и на контактната форма на сайта ни.

Услуги: Защита на данни и киберсигурност

Автор: адв. Елизабет Декова

NIS2 и бизнесът в България – задължения в съответствие с европейската регулация за киберсигурност

Related Posts

Промени в Търговския закон – възможност за бърза ликвидация на дружества

ПОЛЗИ ЗА ИНВЕСТИТОРИТЕ ОТ ИЗДАВАНЕ НА СЕРТИФИКАТ ЗА ИНВЕСТИЦИЯ КЛАС „А“ И КЛАС „Б“. УСЛОВИЯ ЗА СЕРТИФИЦИРАНЕ

Сигурността на данните в адвокатската практика: Защо това трябва да бъде приоритет

Приемането на еврото в България: Ново начало за бизнеса и правната динамика