Предложение за директива относно мерки за високо общо ниво на киберсигурност в Съюза

Въпреки значителните си постижения Директивата относно сигурността на мрежите и информационните системи (Директивата за МИС), която проправи пътя за значителна промяна в нагласите, институционалния и регулаторния подход към киберсигурността в много държави членки, досега също доказа своите ограничения. Цифровата трансформация на обществото (интензивна от кризата с COVID-19) разшири заплахите и доведе до нови предизвикателства, които изискват адаптирани и иновативни отговори.
Сега всяко прекъсване, дори първоначално ограничено до един субект или сектор, може да има каскадни последици в по-широк план, което потенциално да доведе до широкообхватни и дълготрайни отрицателни въздействия върху предоставянето на услуги в целия вътрешен пазар.

За да се справи с тези предизвикателства, както беше обявено в съобщението „Изграждане на цифровото бъдеще на Европа“, Комисията ускори прегледа на директивата до края на 2020 г., извърши оценка на въздействието и представи ново законодателно предложение.

Основни елементи на предложението на Комисията

Новото предложение на Комисията има за цел да отстрани недостатъците на предишната директива за МИС, да я адаптира към настоящите нужди и да я направи съобразена с бъдещето.

За тази цел предложението на Комисията разширява обхвата на настоящата директива за МИС чрез добавяне на нови сектори въз основа на тяхната критичност за икономиката и обществото и чрез въвеждане на ясна горна граница на размера, което означава, че всички средни и големи предприятия в избрани сектори ще бъдат включени в обхвата. В същото време тя оставя известна гъвкавост на държавите членки да идентифицират по-малки субекти с висок рисков профил за сигурността.

Предложението също така премахва разграничението между операторите на основни услуги и доставчиците на цифрови услуги. Субектите ще бъдат класифицирани въз основа на тяхното значение и съответно ще бъдат разделени на съществени и важни категории, вследствие на което ще бъдат подложени на различни надзорни режими.

Предложението засилва изискванията за сигурност за дружествата, като налага подход за управление на риска, осигуряващ минимален списък от основни елементи на сигурността, които трябва да се прилагат. С предложението се въвеждат по-точни разпоредби относно процеса на докладване на инциденти, съдържанието на докладите и сроковете.

Освен това Комисията предлага да се обърне внимание на сигурността на веригите на доставки и отношенията с доставчиците, като се изисква от отделните дружества да се справят с рисковете за киберсигурността във веригите на доставки и отношенията с доставчиците. На европейско равнище предложението укрепва киберсигурността на веригата на доставки за ключови информационни и комуникационни технологии. Държавите членки, в сътрудничество с Комисията и ENISA, ще извършват координирани оценки на риска за критичните вериги на доставки въз основа на успешния подход, възприет в контекста на Препоръката на Комисията относно киберсигурността на 5G мрежите.

С предложението се въвеждат по-строги надзорни мерки за националните органи, по-строги изисквания за правоприлагане и се цели хармонизиране на режимите на санкции в държавите членки.

Предложението също така засилва ролята на групата за сътрудничество при оформянето на стратегическите политически решения относно нововъзникващите технологии и новите тенденции и засилва обмена на информация и сътрудничеството между органите на държавите членки. Той също така засилва оперативното сътрудничество, включително в областта на управлението на киберкризи.

С предложението на Комисията се създава основна рамка с отговорни ключови участници за координирано разкриване на уязвимости за новооткрити уязвимости в целия ЕС и за създаване на регистър на ЕС относно този, управляван от Агенцията на Европейския съюз за киберсигурност (ENISA).
 

Следващи стъпки

Съответните следващи стъпки са следните действия:

• Предложението ще бъде предмет на преговори между съзаконодателите, по-специално Съвета на ЕС и Европейския парламент.
• След като предложението бъде одобрено и впоследствие прието, държавите членки ще трябва да транспонират Директивата за МИС2 в срок от 18 месеца.
• Комисията трябва периодично да преразглежда Директивата за МИС2 и да докладва за първи път относно прегледа 54 месеца след влизането в сила.
• Европейската комисия очаква прилагането на новата стратегия за кибернетичното пространство през следващите месеци.