Директива за МИС 2: осигуряване на сигурността на мрежовите и информационните системи

Киберсигурността включва защита на мрежовите и информационните системи (МИС), техните потребители и други засегнати лица от киберинциденти и заплахи. За да се отговори на повишената експозиция на Европа на киберзаплахи, Директива 2022/2555, известна също като МИС 2, замени предшестващата я Директива (ЕС) 2016/1148 или МИС 1. МИС 2 повишава общото равнище на амбиция на ЕС в областта на киберсигурността чрез по-широк обхват, по-ясни правила и по-силни инструменти за надзор. В него от държавите членки се изисква да подобрят капацитета си в областта на киберсигурността, като същевременно въведат мерки за управление на риска и изисквания за докладване на субекти от повече сектори и установят правила за сътрудничество, обмен на информация, надзор и прилагане на мерките за киберсигурност.

В директивата се изисква всяка държава членка да приеме национална стратегия за киберсигурност, която включва политики за сигурност на веригата на доставки, управление на уязвимостта и образование и осведоменост в областта на киберсигурността. Държавите членки трябва също така да изготвят и редовно да актуализират списък на операторите на основни услуги, като гарантират, че тези субекти спазват изискванията на директивата.

В допълнение към секторите, които вече са обхванати от МИС 1 — енергетика, транспорт, здравеопазване, финанси, управление на водите и цифрова инфраструктура — новите правила се прилагат и за доставчиците на обществени електронни комуникации, повече цифрови услуги (като социални платформи), управление на отпадъците и отпадъчните води, производство на продукти от критично значение, пощенски и куриерски услуги и публична администрация както на централно, така и на регионално равнище, както и космическия сектор. По правило средните и големите субекти в тези критични сектори ще трябва да предприемат подходящи мерки за управление на риска в областта на киберсигурността и да уведомяват съответните национални органи за значителни инциденти. Това са инциденти, които могат да причинят значителни смущения или щети.

Директивата включва и разпоредби за надзор, правоприлагане и доброволни партньорски проверки с цел повишаване на взаимното доверие и капацитета в областта на киберсигурността в целия ЕС. С него също така се въвежда отчетност на висшето ръководство за неспазване на мерките за управление на риска в областта на киберсигурността, като по този начин киберсигурността се представя на вниманието на управителния съвет.

С директивата се създава мрежа от екипи за реагиране при инциденти с компютърната сигурност (ЕРИКС) за обмен на информация относно киберзаплахи и реагиране при инциденти. Тези екипи са от решаващо значение за поддържане на ситуационна осведоменост и предлагане на помощ. За да се управляват мащабни киберинциденти или кризи, с директивата се създава Европейската мрежа за връзка на организациите при киберкризи (EU-CyCLONe). Тази мрежа подпомага координираното управление и осигурява редовен обмен на информация между държавите членки и институциите на ЕС в случай на мащабни инциденти и кризи. 

Успоредно с това групата за сътрудничество за МИС е платформа, създадена с Директивата за МИС с цел улесняване на стратегическото сътрудничество и обмена на информация между държавите — членки на ЕС, Европейската комисия и Агенцията на ЕС за киберсигурност (ENISA). Групата публикува незадължителни насоки и препоръки в подкрепа на прилагането на Директивата за МИС.

На 20 януари 2026 г., като част от нов пакет за киберсигурността, Комисията предложи целенасочени изменения на Директивата за МИС 2, за да се повиши правната яснота. Измененията ще опростят спазването на правилата на ЕС за киберсигурност и изискванията за управление на риска за дружествата, извършващи дейност в ЕС. Те ще улеснят спазването на изискванията за 28 700 дружества, включително 6 200 микро- и малки предприятия.  

Контекст

МИС 1 (Директива 2016/1148) е първото всеобхватно законодателство на ЕС, насочено към повишаване на киберсигурността на мрежите и информационните системи с цел защита на жизненоважни услуги за икономиката и обществото на ЕС. През декември 2020 г. Комисията предложи преразглеждане на МИС 1, което доведе до приемането на МИС 2, която влезе в сила през януари 2023 г. Държавите членки трябваше да транспонират Директивата за МИС2 в националното си законодателство до 17 октомври 2024 г. МИС 2 отмени МИС 1, считано от 18 октомври 2024 г.