Киберсигурност на мрежите и информационните системи

РЕЗЮМЕ НА:

Директива (ЕС) 2016/1148 — киберсигурност на мрежите и информационните системи

КАКВА Е ЦЕЛТА НА ДИРЕКТИВАТА?

Тя предлага широкообхватни мерки за засилване на нивото на сигурност на мрежите и информационните системи (киберсигурност*) да осигури услуги, жизнено важни за икономиката на ЕС и за обществото. Тя цели да гарантира, че държавите от ЕС са добре подготвени и са готови да се справят със и да отговорят на кибератаки чрез:

определянето на компетентни органи,
създаването на екипи за реагиране при инциденти с компютърната сигурност (ЕРИКС), и
приемането на национални стратегии за киберсигурност.

Тя също установява сътрудничество на равнище ЕС както на стратегическо, така и на техническо равнище.

На последно място, задължението доставчиците на основни услуги и доставчиците на цифрови услуги да предприемат мерки за сигурност и да уведомят съответните национални органи за сериозни инциденти.

ОСНОВНИ АСПЕКТИ

Подобряване на националните способности за киберсигурност

Държавите от ЕС трябва:

да определят един или повече национални компетентни органи и ЕРИКС и да идентифицира единна точка за контакт (в случай че има повече от един компетентен орган);
да идентифицира доставчиците на съществени услуги в критични сектори като енергийната, транспортната, финансовата, банковата, здравната, водната и цифровата инфраструктура, при които кибератака може да прекъсне важна услуга.

Държавите ЕС трябва да изготвят национална стратегия за киберсигурност за мрежите и информационните системи*, за да обхванат следните проблеми:

да бъдат подготвени и готови да се справят и да отговорят на кибератаки;
ролите, отговорностите и сътрудничеството с правителствата и другите страни;
образованието, повишаване на осведомеността и програми за обучение;
научноизследователската и развойната дейност;
планиране с цел идентифициране на рисковете.

Националните компетентни органи наблюдават прилагането на директивата с:

оценяване на киберсигурността и политиките на сигурност на доставчиците на основни услуги;
надзираване на доставчиците на цифрови услуги;
участие в работата на група за сътрудничество (състояща се от компетентни органи за мрежова и информационна сигурност (NIS) от всяка от държавите от ЕС, Европейската комисия и Агенцията на Европейския съюз за мрежова и информационна сигурност (ENISA));
да информират обществеността, когато е необходимо да предотвратят инцидент или да се занимават с текущ инцидент, като спазват поверителността;
да издават задължителни указания за отстраняване на пропуски в киберсигурността.

ЕРИКС отговарят за:

наблюдение и отреагиране на инциденти с киберсигурността;
предоставяне на анализи на риска и анализ на инцидента и осведоменост за ситуацията;
участие в мрежата на ЕРИКС;
сътрудничество с частния сектор;
насърчаване на използването на стандартизирани практики за инциденти и за овладяване на риска и с класифициране на информацията.

Изисквания за сигурност и уведомяване

Директивата има за цел да насърчи култура на управление на риска. Предприятията, действащи в ключови сектори трябва да оценят рисковете, които те представляват и да приемат мерки, за да гарантират киберсигурност. Тези предприятия трябва да уведомят компетентните органи или ЕРИКС за всеки инцидент, като напр. недобронамерени действия със или кражба на данни, което сериозно застрашава киберсигурността и има значително увреждащо действие върху непрекъснатостта на съществените услуги и на доставките на стоки.

За да определи инциденти, които трябва да се нотифицират от доставчиците на основни услуги*, държавите от ЕС следва да вземат предвид продължителността на даден инцидент и географското му разпространение, както и други фактори, напр. броя на потребителите, разчитащи на тази услуга.

Ключови доставчици на цифрови услуги (търсачки, компютърни услуги „в облак“ и онлайн пазари) също следва да съответстват на изискванията за сигурност и уведомление.

Подобряване на сътрудничеството на равнище на ЕС

Директивата определя група за сътрудничество, чиито задачи включват:

предоставяне на насоки на мрежата на ЕРИКС;
обмен на най-добри практики за идентифицирането на основните услуги на доставчиците;
подпомагане на държавите от ЕС в изготвянето на възможности за киберсигурност;
споделяне на информация и добри практики относно повишаване на осведомеността и обучението, изследователската и развойната дейност;
споделяне на информация и събиране на добри практики относно рисковете и инцидентите;
обсъждане на правилата за уведомление за инцидент.

Тя също определя мрежа на ЕРИКС, състояща се от представители на ЕРИКС на държавите от ЕС и екипи за незабавно реагиране при компютърни инциденти (CERT на ЕС). Задачите му включват:

споделяне на информация за услугите на ЕРИКС;
споделяне на информация за инциденти с киберсигурността;
подпомагане на държавите от ЕС в отговор на трансгранични инциденти;
обсъждане и идентифициране на координиран отговор на инцидент, докладван от държава от ЕС;
обсъждане, изследване и идентифициране на по-нататъшни форми на съвместно сътрудничество, включително:
- категории от рискове и инциденти;
- ранни предупреждения;
- взаимопомощ;
- координация между държавите, за да се реагира на рисковете и инцидентите, които се отразяват на повече от една държава от ЕС;
информиране на групата за сътрудничество за техните дейности и искане на насоки;
обсъждане на поуките, извлечени от ученията за киберсигурност;
обсъждане на способностите на индивидуални ЕРИКС по тяхна молба;
издаване на насоки за операционно сътрудничество.

Санкции

Държавите от ЕС трябва да приложат ефективни, пропорционални и възпиращи санкции.

ОТКОГА СЕ ПРИЛАГА ДИРЕКТИВАТА?

Тя се прилага от 8 август 2016 г. Държавите от ЕС трябва да я включат в националното законодателство до 9 май 2018 г., и да определят доставчиците на основни услуги до 9 ноември 2018 г.

ОБЩА ИНФОРМАЦИЯ

Киберсигурност (Европейска комисия)
Киберсигурност: Комисията засилва отговора си към кибер атаките — съобщение за пресата (Европейска комисия)
Директива относно мрежовата и информационната сигурност — съобщение за пресата (Европейска комисия)
Устойчивост, възпиране и отбрана: изграждане на силна киберсигурност в Европа — справка (Европейска комисия).

ОСНОВНИ ПОНЯТИЯ

Киберсигурност: способността на мрежите и информационните системи да устоят на дейност, която съдържа наличност, автентичност, интегрираност или поверителност на цифровите данни или услуги, които тези системи предоставят.

Мрежи и информационни системи: електронна съобщителна мрежа или всяко устройство или група от взаимносвързани устройства, които обработват цифрови данни, като съхраняване, обработване, възстановяване и предаване на цифрови данни.

Основни услуги: частни предприятия или обществени органи с важна роля за обществото и икономиката, като напр. доставката на вода, електроуслуги и т.н.

ОСНОВЕН ДОКУМЕНТ

Директива (ЕС) 2016/1148 на Европейския парламент и на Съвета от 6 юли 2016 година относно мерки за високо общо ниво на сигурност на мрежите и информационните системи в Съюза (ОВ L 194, 19.7.2016 г., стр. 1—30)

СВЪРЗАНИ ДОКУМЕНТИ

Регламент за изпълнение (ЕС) 2018/151 на Комисията от 30 януари 2018 година за определяне на правила за прилагане на Директива (ЕС) 2016/1148 на Европейския парламент и на Съвета по отношение на допълнителното уточняване на елементите, които трябва да се вземат предвид от доставчиците на цифрови услуги при управлението на рисковете за сигурността на мрежите и информационните системи, както и на показателите за определяне на това дали даден инцидент има съществено въздействие (ОВ L 26, 31.1.2018 г., стр. 48—51)

Решение за изпълнение (ЕС) 2017/179 на Комисията от 1 февруари 2017 година за определяне на процедурните правила, необходими за работата на групата за сътрудничество съгласно член 11, параграф 5 от Директива (ЕС) 2016/1148 на Европейския парламент и на Съвета относно мерки за високо общо ниво на сигурност на мрежите и информационните системи в Съюза (ОВ L 28, 2.2.2017 г., стр. 73—77)

Съобщение на Комисията до Европейския парламент и до Съвета: Максимално оползотворяване на МИС — за ефективно прилагане на Директива (ЕС) 2016/1148 относно мерки за високо общо ниво на сигурност на мрежите и информационните системи в Съюза (COM(2017) 476 final 2, 4.10.2017 г.)

Препоръка (ЕС) 2017/1584 на Комисията от 13 септември 2017 година относно координирана реакция на мащабни киберинциденти и кризи (ОВ L 239, 19.9.2017 г., стр. 36—58)

Съвместно съобщение до Европейския парламент и Съвета — устойчивост, възпиране и отбрана: изграждане на силна киберсигурност за ЕС (JOIN(2017) 450 final, 13.9.2017 г.)

Работен документ на Комисията — Оценяване на стратегията за киберсигурност на ЕС през 2013 г. (SWD(2017) 295 final, 13.9.2017 г.)

Регламент (ЕС) № 910/2014 на Европейския парламент и на Съвета от 23 юли 2014 година относно електронната идентификация и удостоверителните услуги при електронни трансакции на вътрешния пазар и за отмяна на Директива 1999/93/ЕО (ОВ L 257, 28.8.2014 г., стр. 73—114)

Решение на Съвета 2013/488/ЕС от 23 септември 2013 година относно правилата за сигурност за защита на класифицирана информация на EC (ОВ L 274, 15.10.2013 г., стр. 1—50).

Последващите изменения на Решение 2013/488/ЕС са включени в първоначалния текст. Тази консолидирана версия е само за документална справка.

Директива 2013/40/ЕС на Европейския парламент и на Съвета от 12 август 2013 година относно атаките срещу информационните системи и за замяна на Рамково решение 2005/222/ПВР на Съвета (ОВ L 218, 14.8.2013 г., стр. 8—14)

Регламент (ЕС) № 526/2013 на Европейския парламент и на Съвета от 21 май 2013 година относно Агенцията на Европейския съюз за мрежова и информационна сигурност (ENISA) и за отмяна на Регламент (ЕО) № 460/2004 (ОВ L 165, 18.6.2013 г., стр. 41—58)

Съвместно съобщение до Европейския парламент, Съвета, Европейския икономически и социален комитет и Комитета на регионите — Стратегия на Европейския съюз за киберсигурност: Отворено, безопасно и сигурно киберпространство (JOIN(2013) 1 final, 7.2.2013 г.)

последно актуализация 01.03.2018