За да отговори на нарастващите заплахи, които следват от бързо разрастващата се дигитализация и следващите от това голям брой кибератаки, на 16 януари 2023 г. влезе в сила преработената директива на ЕС за киберсигурността. Новата Директива 2022/2555 (наричана по-нататък NIS 2) разширява обхвата на приложение, като ще се прилага за 18 сектора, които са групирани в 2 категории.
От една страна, са секторите с висока степен на критичност като енергетика, транспорт, банков сектор, здравеопазване и т.н. От друга страна са други критични сектори като пощенски и куриерски услуги, управление на отпадъците, доставчици на цифрови услуги и други.
NIS 2 ще засяга всяко средно и голямо предприятие от посочените сектори, т.е. такива, които са с над 50 служители или с годишен оборот над 10 млн. евро. Тези компании ще трябва да отговярят на новите изисквания на новата нормативна уредба, като за целта трябва да се въведат технически, оперативни и организационни мерки, които да способстват за по-високото ниво на киберсигурност.
Важно е да се отбележи, че компании като телекомуникационни оператори, доставчици на удостоверителни услуги и други, ще попаднат в рамката на Директивата, независимо че не могат да бъдат квалифицирани като средно или голямо предприятие.
Въз основа на сектора и значението на субектите, те ще бъдат разделени на:
- Съществени (тук са тези с висока степен на критичност като доставчиците на облачни услуги);
- Важни – всички, които изрично не са класифицирани като съществени – пощенски и куриерски услуги, химикали и храни, производители, доставчици на цифрови услуги и др.
Компаниите ще трябва да предвидят процедури за:
- действия при инцидент;
- сигурност на веригата за доставка, включително свързани със сигурността аспекти относно взаимовръзките между всеки субект и неговите преки снабдители или доставчици на услуги;
- политики за контрол на достъпа;
- използването на многофакторни решения за удостоверяване на автентичността, защитени гласови, видео и текстови съобщения и защитени системи за спешна комуникация в рамките на субекта, когато е целесъобразно;
- киберхигиенни практики и обучение в областта на киберсигурността (напр. принципите на нулево доверие/zero-trust, софтуерни актуализации, конфигурация на устройства).
Ако са налице значителни инциденти субектите ще трябва да докладват на националния екип за реагиране при инциденти с компютърна сигурност (ЕРИКС). Под „значителен инцидент“ се разбира и такъв, който не е причинил вреди, а създава само вероятност за това. Изисква се пръвоначално уведомление в рамките на 24 часа, след което последващо в рамките на 72 часа. Накрая следва да се предостави окончателен доклад с допълнителна информация за инцидента в рамките на един месец.
ОТГОВОРНОСТ И САНКЦИИ
Тук трябва да се отбележи, че управителните органи (физическите лица) на съществени и важни субекти ще носят и лична отговорност за неспазване на NIS 2. Поначало от управителните органи ще се изисква да преминават специални обучения.
Санкциите за съществените субекти ще достигат 10 млн. евро или 2% от техния световен годишен оборот, а за важните субекти ще достигат 7 млн. евро или 1.4% от световния годишен оборот. Държавите членки ще могат по тяхна преценка да въведат и по-висок максимален размер.
NIS 2 трябва да се въведе в България не по-късно от 17 октомври 2024 г.
#адвокати в София, #адвокатски услуги, #условия адвокати, #адвокат Янчина контакти, #адвокат София, #търся адвокат, #правни услуги, #адвокат софия цени, #адвокатски услуги онлайн, #консултация с адвокат, #юридически услуги, #адвокатска кантора, #Адвокатски услуги цени, #консултация с адвокат, #за връзка с адвокат софия, #контакти с адвокат
