Правилата ще гарантират по-безопасна и по-силна Европа чрез значително разширяване на секторите и видовете субекти, попадащи в нейния обхват, и чрез засилване на изискванията за сигурност за дружествата.
Неотдавнашните заплахи засилиха необходимостта от бързо и съвместно повишаване на киберсигурността на ЕС за защита на гражданите и предприятията. От решаващо значение е също така критичните сектори и инфраструктура да останат сигурни и устойчиви. С преодоляването на тези предизвикателства Директивата за МИС 2 заменя правилата относно сигурността на мрежите и информационните системи (Директивата за МИС), които бяха първото законодателство на ЕС в областта на киберсигурността, което проправя пътя за по-иновативен регулаторен подход към киберсигурността в много държави членки.
Запазване на допълнителни сектори от решаващо значение
Повишената взаимосвързаност и цифровизацията на някои сектори водят до повече киберзаплахи. Гарантирането, че повече сектори и субекти трябва да предприемат мерки за управление на риска, свързан с киберсигурността, ще повиши равнището на киберсигурност в Европа. Понастоящем Директивата за МИС 2 обхваща допълнителни сектори, които са от решаващо значение за икономиката и обществото, включително доставчиците на обществени електронни съобщителни мрежи и услуги, услугите на центрове за данни, управлението на отпадъчните води и отпадъците, производството на продукти от критично значение, пощенските и куриерските услуги и субектите на публичната администрация. Правилата обхващат и сектора на здравеопазването в по-широк план, например като включват научноизследователска и развойна дейност в областта на медицината или производството на фармацевтични продукти. Държавите членки ще имат известна свобода на преценка при определянето на по-малки субекти с висок профил на сигурност, които следва да бъдат включени в обхвата на директивата.
Подобрени изисквания за сигурност за дружествата
Директивата за МИС 2 също така засилва изискванията за управление на риска за киберсигурността, които дружествата са задължени да спазват. Както и съгласно Директивата за МИС, дружествата ще трябва да предприемат подходящи и пропорционални технически, оперативни и организационни мерки за управление на рисковете за киберсигурността, предотвратяване и свеждане до минимум на въздействието на потенциални инциденти. Това изискване става много по-конкретно в рамките на МИС 2 със списък с целенасочени мерки, включително, наред с другото, реакция при инциденти и управление на кризи, справяне с уязвимости и оповестяване, политики и процедури за оценка на ефективността на мерките за управление на риска, свързан с киберсигурността, или хигиена и обучение в областта на киберсигурността.
За да спомогне за увеличаване на обмена на информация и сътрудничеството в областта на управлението на кризи в кибернетичното пространство както на национално равнище, така и на равнище ЕС, директивата рационализира задълженията за докладване на инциденти с по-точни разпоредби относно докладването, съдържанието и графика. Освен това съществуват по-строги надзорни мерки за националните органи, както и по-строги изисквания за правоприлагане, както и списък на административните санкции, включително глоби за нарушаване на управлението на риска, свързан с киберсигурността, и задълженията за докладване.
Следващи стъпки
Държавите членки ще разполагат с 21 месеца, за да транспонират Директивата за МИС2 в националното си законодателство. През този период държавите членки приемат и публикуват мерките, необходими, за да се съобразят с настоящата директива.
През декември 2022 г. Съветът прие препоръка относно подход за координация в целия Съюз с цел укрепване на устойчивостта на критичната инфраструктура, в която държавите членки се приканват да ускорят подготвителната работа за транспонирането и прилагането на МИС 2 и на Директивата относно устойчивостта на критичните субекти (УКС).
Обстоятелства по спора
Киберсигурността е приоритет на Комисията и крайъгълен камък на цифровата и свързана Европа.
Първият приложим в целия ЕС закон за киберсигурността — Директивата за МИС, която влезе в сила през 2016 г., помогна да се постигне еднакво високо ниво на сигурност на мрежите и информационните системи навсякъде в ЕС. Директивата за МИС обхваща няколко сектора, включително енергетиката, транспорта, банковото дело и финансите, здравеопазването, снабдяването с питейна вода и разпределението, както и цифровата инфраструктура. Тя обхвана и доставчиците на цифрови услуги, по-специално доставчиците на услуги „в облак“, онлайн местата за търговия и онлайн търсачките.
Като част от основната цел на политиката на Комисията да подготви Европа за цифровата ера през декември 2020 г. Комисията предложи да бъде преразгледана директивата за МИС. Актът на ЕС за киберсигурността, който е в сила от 2019 г., осигури на Европа рамка за сертифициране на киберсигурността на продукти, услуги и процеси и укрепи правомощията на Агенцията на ЕС за киберсигурност (ENISA). През септември 2022 г. Комисията прие предложението за Законодателен акт за киберустойчивост, в който се определят изисквания за киберсигурност за продукти с цифров елемент, който обхваща както хардуера, така и софтуера.