Директива относно мерки за високо общо ниво на киберсигурност в Съюза (Директива за МИС2) — ЧЗВ

Директивата за МИС — първият законодателен акт на ЕС в областта на киберсигурността — е първият хоризонтален инструмент на вътрешния пазар, насочен към подобряване на устойчивостта на мрежите и информационните системи в Съюза срещу рискове за киберсигурността. Въпреки забележителните си постижения Директивата за МИС показа някои ограничения. Цифровата трансформация на обществото, засилена от кризата с COVID-19, разшири заплахите. Появиха се нови предизвикателства, които изискват адаптирани и иновативни отговори.

За да може да анализира въздействието и да установи недостатъците на Директивата за МИС, Комисията проведе обстойна консултация със заинтересованите страни. Комисията установи следните основни въпроси:

• недостатъчно равнище на киберустойчивост на предприятията, извършващи дейност в ЕС
• непоследователна устойчивост между държавите членки и секторите
• недостатъчно общо разбиране на основните заплахи и предизвикателства сред държавите членки
• липса на съвместна реакция при кризи.

В резултат на това и с цел да се отговори на нарастващите заплахи, дължащи се на цифровизацията и взаимосвързаността, през декември 2020 г. Комисията предложи преработен набор от съобразени с бъдещето правила, насочени към укрепване на равнището на киберустойчивост в Съюза, по които съзаконодателите постигнаха политическо споразумение на 13 май 2022 г. и официално приеха новата директива в края на ноември 2022 г.

След кризата с COVID-19 европейската икономика стана по-зависима от цифровите решения от всякога. Секторите и услугите стават все по-взаимосвързани и взаимозависими. Това доведе до нарастваща и бързо развиваща се среда на заплахи за киберсигурността: всяко смущение, дори първоначално ограничено до един субект или сектор, може да има каскадни последици в по-широк план, което потенциално да доведе до широкообхватни и дълготрайни отрицателни въздействия върху предоставянето на услуги в целия вътрешен пазар.

Пандемията от COVID-19 показа уязвимостта на нашите все по-взаимозависими общества, изправени пред неочаквани рискове. Той засили вече възникващите въпроси в действащата Директива за МИС и послужи като катализатор за нейното преразглеждане. Конкретна промяна в Директивата за МИС с оглед на тази криза беше да се разшири обхватът на новата директива, като се обхванат по-специфични елементи в сектора на здравеопазването, като например субекти, извършващи научноизследователска и развойна дейност в областта на лекарствените продукти.

Директивата за МИС2 предвижда правни мерки за повишаване на общото ниво на киберсигурност в ЕС, за да се допринесе за цялостното функциониране на вътрешния пазар. Тя се основава на трите основни стълба, които бяха в основата на Директивата за МИС1:

1. Въз основа на стратегията за МИС1 относно сигурността на мрежите и информационните системи, за да се постигне високо равнище на готовност на държавите членки, Директивата за МИС2 изисква от държавите членки да приемат национална стратегия за киберсигурност. От държавите членки се изисква също така да определят национални екипи за реагиране при инциденти с компютърната сигурност (ЕРИКС), които отговарят за управлението на риска и инцидентите, компетентен национален орган за киберсигурност и единно звено за контакт (ЕЗК). ЕЗК трябва да упражнява функция за връзка, за да осигури трансгранично сътрудничество между органите на държавите членки със съответните органи в други държави членки и, когато е целесъобразно, с Комисията и ENISA, както и да осигури междусекторно сътрудничество с други компетентни органи в рамките на своята държава членка.
2. Директиватаза МИС2 продължава също така рамката за МИС1 за създаване на Група за сътрудничество за МИС с цел подпомагане и улесняване на стратегическото сътрудничество и обмена на информация между държавите членки, както и мрежата на ЕРИКС, която насърчава бързото и ефективно оперативно сътрудничество между националните ЕРИКС.
3. Директивата за МИС1 гарантира, че се предприемат мерки за киберсигурност в седем сектора, които са жизненоважни за нашата икономика и общество и които разчитат в голяма степен на ИКТ, като енергетиката, транспорта, банковото дело, инфраструктурите на финансовия пазар, питейната вода, здравеопазването и цифровата инфраструктура.

Публичните и частните субекти, определени от държавите членки като оператори на основни услуги (OES) в тези сектори, са длъжни да извършат оценка на риска за киберсигурността и да въведат подходящи и пропорционални мерки за сигурност. От тях се изисква да уведомяват съответните органи за сериозни инциденти. Освен това доставчиците на ключови цифрови услуги (доставчици на цифрови услуги или доставчици на цифрови услуги), като например търсачки, изчислителни услуги в облак и онлайн места за търговия, също трябва да спазват изискванията за сигурност и уведомяване съгласно директивата. В същото време последните са подчинени на т.нар. „лек“ регулаторен режим, който предполага, че тези субекти не са обект на предварителни надзорни мерки.

Директивата за МИС2 значително разширява обхвата на секторите и въвежда праг за размера, за да определи кои субекти попадат в нейния обхват и от тях ще се изисква да докладват на националните компетентни органи за значителни инциденти, свързани с киберсигурността.

Директивата за МИС2 има за цел да отстрани недостатъците на предишните правила, да я адаптира към настоящите нужди и да я направи съобразена с бъдещето.

За тази цел с директивата се разширява обхватът на предишните правила, като се добавят нови сектори въз основа на тяхната степен на цифровизация и взаимосвързаност и доколко те са от решаващо значение за икономиката и обществото, чрез въвеждане на правило за ясен праг за размера, което означава, че всички средни и големи предприятия в избрани сектори ще бъдат включени в обхвата. В същото време тя оставя известна свобода на действие на държавите членки да идентифицират по-малки субекти с висок рисков профил за сигурността, които също следва да бъдат обхванати от задълженията по новата директива.

Новата директива също така премахва разграничението между операторите на основни услуги и доставчиците на цифрови услуги. Субектите ще бъдат класифицирани въз основа на тяхната значимост и ще бъдат разделени на две категории: съществени и значими субекти, които ще бъдат подложени на различен надзорен режим.

С него се укрепват и рационализират изискванията за сигурност и докладване за дружествата, като се налага подход за управление на риска, който предоставя минимален списък от основни елементи на сигурността, които трябва да се прилагат. С новата директива се въвеждат по-точни разпоредби относно процеса на докладване на инциденти, съдържанието на докладите и сроковете.

Освен това МИС2 разглежда сигурността на веригите на доставки и отношенията с доставчиците, като изисква от отделните дружества да се справят с рисковете за киберсигурността във веригите на доставки и отношенията с доставчиците. На европейско равнище директивата укрепва киберсигурността на веригата на доставки за ключови информационни и комуникационни технологии. Държавите членки, в сътрудничество с Комисията и ENISA, могат да извършват на равнището на Съюза координирани оценки на риска за сигурността на критичните вериги на доставки въз основа на успешния подход, възприет в контекста на Препоръката на Комисията относно киберсигурността на 5G мрежите.

С директивата се въвеждат по-строги надзорни мерки за националните органи, по-строги изисквания за правоприлагане и се цели хармонизиране на режимите на санкции в държавите членки.

Той също така засилва ролята на групата за сътрудничество при оформянето на стратегическите политически решения и засилва обмена на информация и сътрудничеството между органите на държавите членки. Той също така засилва оперативното сътрудничество в рамките на мрежата на ЕРИКС и създава европейската мрежа на организациите за връзка при киберкризи (EU-CyCLONe) в подкрепа на координираното управление на мащабни киберинциденти и кризи.

МИС2 също така установява основна рамка с отговорни ключови участници относно координираното разкриване на уязвимости за новооткрити уязвимости в целия ЕС и създава база данни на ЕС за уязвимости за публично известни уязвимости в ИКТ продукти и ИКТ услуги, която да се управлява и поддържа от Агенцията на ЕС за киберсигурност (ENISA).

МИС2 обхваща субекти от следните сектори:

Сектори с висока критичност: енергия (електроенергия, централно отопление и охлаждане, нефт, газ и водород); транспорт (въздушен, железопътен, воден и автомобилен); банково дело; инфраструктури на финансовите пазари; здравеопазване, включително производство на фармацевтични продукти, включително ваксини; питейна вода; отпадъчни води; цифрова инфраструктура (интернет точки за обмен; Доставчици на DNS услуги; Регистри на имена на домейни от първо ниво; доставчици на услуги за изчисления в облак; доставчици на услуги в центрове за данни; мрежи за доставка на съдържание; доставчици на удостоверителни услуги; доставчици на обществени електронни съобщителни мрежи и обществено достъпни електронни съобщителни услуги); Управление на ИКТ услуги (управлявани доставчици на услуги и доставчици на управлявани услуги за сигурност), публична администрация и космическо пространство.

Други критични сектори: пощенски и куриерски услуги; управление на отпадъците; химикали; храна; производство на медицински изделия, компютри и електроника, машини и оборудване, моторни превозни средства, ремаркета и полуремаркета и друго транспортно оборудване; цифрови доставчици (онлайн пазари, онлайн търсачки и платформи за услуги за социални мрежи) и научноизследователски организации.

Оценката на настоящите правила относно изискванията за сигурност и докладване на инциденти показа, че в някои случаи държавите членки са приложили тези изисквания по значително различни начини. Това създаде допълнителна тежест за дружествата, извършващи дейност в повече от една държава членка.

Освен това, когато става въпрос за изискванията за киберсигурност, искаме да сме сигурни, че всички дружества разглеждат необходимия основен набор от елементи в своите политики за управление на риска за киберсигурността.

Поради тази причина МИС2 включва списък с 10 ключови елемента, които всички дружества трябва да разгледат или приложат като част от мерките, които предприемат, включително обработка на инциденти, сигурност на веригата на доставки, обработка и разкриване на уязвимости, използване на криптография и, когато е целесъобразно, криптиране.

Що се отнася до докладването на инциденти, трябва да намерим точния баланс между необходимостта от бързо докладване, за да се избегне потенциалното разпространение на инциденти, и необходимостта от задълбочено докладване, за да се извлекат ценни поуки от отделните инциденти. Новата директива предвижда многоетапен подход към докладването на инциденти. Засегнатите дружества разполагат с 24 часа, считано от момента, в който за първи път узнаят за инцидент, да подадат ранно предупреждение до ЕРИКС или компетентния национален орган, което би им позволило също така да потърсят помощ (насоки или оперативни съвети относно прилагането на евентуални мерки за смекчаване на последиците), ако поискат това. Ранното предупреждение следва да бъде последвано от уведомление за инцидент в рамките на 72 часа от узнаването за инцидента и окончателен доклад не по-късно от един месец по-късно.

Новата директива за МИС поставя надзора и правоприлагането в центъра на задачите на компетентните органи и установява съгласувана рамка за всички дейности по надзора и правоприлагането във всички държави членки.

За да се засили надзорът, който спомага за гарантиране на ефективното спазване на изискванията, МИС2 предвижда минимален списък с надзорни средства, чрез които компетентните органи могат да упражняват надзор върху съществените и значимите субекти. Те включват редовни и целенасочени одити, проверки на място и дистанционни проверки, искане на информация и достъп до документи или доказателства.

Освен това с новата директива се установява диференциация на режимите за надзор между съществените и значимите субекти, за да се осигури справедлив баланс на задълженията както за субектите, така и за компетентните органи.

Що се отнася до правоприлагането, до момента е налице общо нежелание в държавите членки да налагат санкции на субекти, които не са въвели мерки за сигурност или не са докладвали за инциденти. Това може да има отрицателни последици за киберустойчивостта на субектите. За да стане правоприлагането ефективно, с новата директива се създава съгласувана рамка за санкции в целия Съюз. Поради това с него се установява минимален списък на административните санкции за нарушаване на задълженията за управление и докладване на риска за киберсигурността, определени в Директивата за МИС2. Тези санкции включват задължителни инструкции, заповед за изпълнение на препоръките от одита на сигурността, заповед за привеждане на мерките за сигурност в съответствие с изискванията на МИС и административни глоби. По отношение на административните глоби в новата директива за МИС се прави разграничение между съществените и значимите субекти. Що се отнася до съществените субекти, от държавите членки се изисква да предвидят определено равнище на административни глоби, по-специално най-малко 10 000 000 EUR или 2 % от общия световен годишен оборот за предходната финансова година, в зависимост от това коя от двете стойности е по-висока. По отношение на значимите субекти МИС2 изисква от държавите членки да предвидят максимална глоба в размер на най-малко 7 000 000 EUR или най-малко 1,4 % от общия годишен световен оборот за предходната финансова година, в зависимост от това коя от двете стойности е по-висока.

При упражняване на своите правомощия за правоприлагане компетентните органи следва надлежно да отчитат конкретните обстоятелства във всеки отделен случай, като например естеството, тежестта и продължителността на нарушението, причинената вреда или понесените загуби, умишления или небрежния характер на нарушението.

За да се гарантира реална отчетност за мерките за киберсигурност на организационно равнище, МИС2 въвежда разпоредби относно отговорността на физическите лица, заемащи висши ръководни длъжности в субектите, попадащи в обхвата на новата Директива за МИС.

Новите правила подобряват начина, по който ЕС предотвратява, третира и реагира на мащабни киберинциденти и кризи. Те правят това чрез въвеждане на ясни отговорности, подходящо планиране и по-голямо сътрудничество в ЕС. МИС2 изисква от държавите членки да определят национални органи, отговарящи за управлението на киберкризи, въвеждат национални мащабни планове за реагиране при инциденти и кризи в областта на киберсигурността и създават европейска мрежа от организации за връзка при киберкризи (EU-CYCLONe), която да подпомага координираното управление на широкомащабни инциденти и кризи в областта на киберсигурността на оперативно равнище. Тази мрежа е ключов компонент, допринасящ за създаването на рамката на ЕС за управление на киберкризи, очертана от Комисията през 2017 г. с Препоръката относно координираната реакция при мащабни инциденти и кризи.

По правило съществените и значимите субекти се считат за попадащи под юрисдикцията на държавата членка, в която са установени. Ако субектът е установен в повече от една държава членка, той следва да попада под юрисдикцията на всяка от тези държави членки. Компетентните органи на всяка от тези държави членки следва да си сътрудничат, да си оказват взаимопомощ и, когато е целесъобразно, да извършват съвместни надзорни действия. Има няколко изключения от това правило:

• доставчиците на обществени електронни съобщителни мрежи или доставчици или публично достъпните електронни съобщителни услуги попадат под юрисдикцията на държавата членка, в която предоставят своите услуги.
• субектите на публичната администрация попадат под юрисдикцията на държавата членка, която ги е създала.
• някои видове образувания ще бъдат под юрисдикцията на държавата членка, в която се намира основното им място на установяване в Съюза. Тези субекти включват доставчици на системни услуги за имена на домейни, регистри на имена на домейни от първо ниво, субекти, предоставящи услуги за регистрация на имена на домейни, доставчици на услуги за изчисления в облак, доставчици на услуги в центрове за данни, доставчици на мрежи за доставка на съдържание, доставчици на управлявани услуги за сигурност, както и доставчици на онлайн места за търговия, на онлайн търсачки и на платформи за социални мрежи. Целта е да се гарантира, че тези субекти не са изправени пред множество различни правни изисквания, тъй като те предоставят услуги през границите в особено голяма степен. За целите на ефективния надзор държавите членки ще изискват от тези видове субекти да уведомят, наред с другото, къде е основното място на установяване на субекта, както и другите му правни места на установяване в Съюза или, ако не са установени в Съюза, мястото, където е определен представителят на субекта. От ENISA ще се изисква да създаде и поддържа регистър с информацията, предоставена на тази основа от държавите членки.

Сътрудничеството на ЕС се осъществява, като се даде възможност на държавите членки да действат съвместно и да се справят с възникващите рискове за сигурността, породени от продължаващата цифрова трансформация.

По-конкретно, държавите членки ще могат съвместно да упражняват надзор върху прилагането на правилата на ЕС и да си оказват взаимна помощ в случай на трансгранични злоупотреби, да водят по-структуриран диалог с частния сектор и да координират разкриването на уязвимости, открити в софтуера и хардуера, продавани на вътрешния пазар. Те също така ще могат да работят по координиран начин за оценка на рисковете и заплахите за сигурността, свързани с новите технологии, както това се прави за първи път с 5G.

Държавите членки ще използват сътрудничеството на ЕС за подобряване на националните способности чрез обмен на персонал между органите и партньорски проверки. Съществуващите групи, по-специално групата за сътрудничество, обединяваща националните органи в областта на киберсигурността, и мрежата от екипи за реагиране при инциденти с компютърната сигурност (CSIRT), ще допринесат за напредъка на сътрудничеството съответно на стратегическо и техническо равнище.

Директивата за МИС2 е тясно свързана с две други инициативи — Директивата за устойчивостта на критичните субекти (CER) и Регламента за оперативната устойчивост на цифровите технологии за финансовия сектор (Законодателен акт за оперативната устойчивост в областта на цифровите технологии, DORA).

Обхватът на МИС 2 и Директивата за устойчивостта на критичните субекти (Директивата за УЕР) бяха приведени в съответствие до голяма степен, за да се гарантира, че физическата и киберустойчивостта на критичните субекти се разглеждат по всеобхватен начин. Субектите, определени като критични субекти съгласно Директивата за CER, също ще подлежат на задълженията за киберсигурност съгласно Директивата за МИС2. Освен това националните компетентни органи съгласно директивите за СЕР и МИС2 трябва да си сътрудничат и да обменят редовно съответната информация, като например относно рисковете, киберзаплахите и инцидентите, както и относно рисковете, които не са свързани с кибернетичното пространство, заплахите и инцидентите. Групата за сътрудничество в рамките на МИС2 ще трябва да заседава редовно и поне веднъж годишно с Групата за устойчивост на критичните субекти, създадена съгласно Директивата за СЕР.

Що се отнася до финансовия сектор, въпреки че новата Директива за МИС включва кредитните институции, операторите на места на търговия и централните контрагенти в обхвата си, DORA ще се прилага за тези субекти по отношение на задълженията за управление на риска за киберсигурността и задължения за докладване. В същото време е важно да се поддържат силни отношения за обмен на информация между финансовия сектор и другите сектори, обхванати от МИС 2. За тази цел съгласно DORA европейските надзорни органи (ЕНО) за финансовия сектор и националните компетентни органи във финансовия сектор ще могат да участват в обсъжданията на групата за сътрудничество за МИС. Освен това компетентните органи на DORA ще могат да се консултират и да споделят съответната информация с единното звено за контакт (ЕЗК) и ЕРИКС, създадени съгласно МИС2. Компетентните органи, ЕЗК или ЕРИКС, създадени в рамките на МИС2, също ще получават информация за големи инциденти, свързани с ИКТ, от компетентните органи съгласно DORA. Освен това държавите членки следва да продължат да включват финансовия сектор в своите стратегии за киберсигурност, а националните ЕРИКС могат да обхванат финансовия сектор в своите дейности.

Държавите членки ще трябва да транспонират директивата до 17 октомври 2024 г. (21 месеца след влизането в сила на МИС2). След това Комисията трябва периодично да прави преглед на функционирането на директивата и да докладва за това за първи път до 17 октомври 2027 г. на Парламента и на Съвета.