fbpx Европейска регулация на киберсигурността и влиянието й върху бизнеса | твоят Бизнес - списание за предприемчивите българи
Водеща снимка
Да

Европейска регулация на киберсигурността и влиянието й върху бизнеса

Развитието на дигиталното общество налага създаването на законодателни механизми за превенция и реакция срещу киберзаплахи на европейско и национално ниво, които да поставят високи изисквания към сектори с голямо значение за функционирането на обществото, като същевременно подпомогнат изграждането и поддържането на системи за киберсигурност в предприятията.

Към настоящия момент в България тези отношения се регулират със Закона за киберсигурност, обнародван в брой 94/2018 на ДВ, с който се транспонира Директива 2016/1148 на ЕС относно мерки за високо общо ниво на сигурност на мрежите и информационните системи (NIS) и с Наредба за минималните изисквания за мрежова и информационна сигурност.

На 16.01.2023 г. влезе в сила нова Директива на ЕС - Директива 2022/2555 относно мерки за високо общо ниво на киберсигурност в Съюза (Network and Information Systems Directive - NIS2). Държавите-членки следва да я транспонират на местно ниво и да подсигурят контролни системи в областта на киберсигурността до 17.10.2024 г. Съобразно NIS2 се установява ред за отчитане на инциденти, управление на риска за киберсигурността, управление на риска при веригата на доставки и значителни по стойност санкции за нарушения.

Кой са задължени субекти според NIS2?

Директивата засяга средни (с над 50 служители или с годишен оборот по-голям от 10 милиона евро) и големи предприятия (с над 250 души и които имат или годишен оборот над 50 милиона евро или годишен баланс, който надвишава 43 милиона евро). Задължените предприятия се разделят на съществени и важни субекти, в следните сектори:

Съществени субекти в сектори:

- Енергия - електричество, нефт, природен газ, централно отопление и охлаждане и водород;

- Транспорт - въздушен, железопътен, воден и автомобилен;

- Банкови услуги и инфраструктури на финансовия пазар;

- Здравеопазване - включително медицински лаборатории, производство и клинични изпитвания на фармацевтични продукти и медицински изделия,

- Питейна вода и отпадъчни води;

- Цифрови инфраструктури - телекомуникации, центрове за данни, удостоверителни и облачни услуги;

- Информационни и комуникационни услуги;

Важни субекти в сектори:

- Пощенски и куриерски услуги;

- Управление на отпадъците;

- Производство и разпространение на химикали;

- Производство, преработка и разпространение на храни и хранителни продукти;

- Производство на техника и оборудване - медицинско, компютърно и транспортно оборудване и електроника и машини;

- Предоставяне на дигитални услуги – онлайн търсачки, онлайн търговия, социални платформи и мрежи;

Директива 2022/2555 на ЕС не се прилага за микро и малките предприятия, освен ако те имат ключова роля за икономиките или обществата на държавите-членки, като оператори на обществени електронни съобщителни мрежи или доставчици на съответните услуги, доставчици на доверителни услуги или регистри на имена на домейни от първо ниво (top-level domain - TLD), услуги за виртуални указател, в които се съхранява информацията за домейн имената и отговарящите им IP адреси (Domain Name System – DNS) или когато прекъсването на услугата може да има значителни последици в областта на общественото здраве.

Държавите членки следва да извършват оценка на своите национални стратегии за киберсигурност редовно и поне на всеки пет години въз основа на ключови показатели за ефективност и при необходимост ги актуализират. През 2022 г. беше приета и Актуализирана Национална стратегия за киберсигурност „Киберустойчива България 2023”, чиято основна цел е изграждането на Национална екосистема за киберсигурност и интегриране в системата за киберсигурност на Европейския съюз. При съставянето на новата национална оценка в България могат да бъдат по-детайлно конкретизирани и допълнени сектори, които са приоритетни за страната.

Следва да бъде определен и орган на национално ниво, които да събира данни от фирмите, да поддържа регистри, да бъде уведомен при възникване на кибератака, да има правомощията да извършва проверки, осъществява контрол и да налага административни наказания за неспазване на законодателството. България все още не е определила изрично органи за контрол по отношение на изпълнението на задълженията по Директивата, но вероятно тези функции ще бъдат възложени на Министерство на електронното управление и Изпълнителна агенция "Инфраструктура на електронното управление".

Мерки за гарантиране на киберсигурност

За да изпълнят нормите за киберсигурност фирмите ще трябва да предприемат мерки, които включват:

- политики за анализ на риска и сигурност на информационните системи и конкретни действия при инцидент, гарантират непрекъснатост на стопанската дейност;

- сигурност на веригата за доставка, включително свързани със сигурността аспекти относно взаимовръзките между всеки субект и неговите преки снабдители или доставчици на услуги;

- сигурност при придобиването на мрежови и информационни системи, разработване и поддръжка, предприемане на действия при уязвимости и оповестяването им,

- политики и процедури за оценяване на ефективността на мерките за управление на риска в областта на киберсигурността,

- основни киберхигиенни практики и обучение в областта на киберсигурността, политики и процедури относно използването на криптография, криптиране,

- Сигурност на човешките ресурси, политики за контрол на достъпа и управление на активи, използването на многофакторни решения за удостоверяване на автентичността или непрекъснато удостоверяване на автентичността, защитени гласови, видео и текстови съобщения и защитени системи за спешна комуникация в рамките на субекта.

Задължените субекти предоставят на националните контролните органи  информация за „ранно предупреждение“ в рамките на 24 часа от узнаване за инцидента, уведомление за инцидент в рамките на 72 часа след узнаването на инцидента, първоначална оценка на инцидента, включително по отношение на неговата тежест и въздействие, междинен доклад при поискване и окончателен доклад не по-късно от един месец след подаване на уведомлението за инцидента. Окончателният доклад трябва да включва подробно описание на инцидента, включително вероятната причина за инцидента, приложените смекчаващи мерки и всяко трансгранично въздействие на инцидента.

Последици от неизпълнението

В новата Директива са предвидени санкции до 10 милиона евро или 2% от общия световен годишен оборот за съществените субекти и до 7 милиона евро или най-малко 1,4 % за важните субекти, като при налагането им се предпочита по-голямата от двете суми.

Препоръки за действия преди окончателното въвеждане на задълженията за киберсигурност

Препоръчителни действия за дружествата са анализ на бизнес процесите, които попадат в обхвата на NIS2, оценка на управление на риска и състоянието на киберсигурността на организацията, график и съставяне на стратегия за привеждане в съответствие, провеждане на тестове за проверка на устойчивост на кибератаки, преглед и подобряване на сигурността при веригата за доставки и отчитане на рисковете относно достъпа до системи и комуникацията с партньори и трети страни.

Възможности за финансиране, свързани с развитие на системи за киберсигурност на бизнеса

В контекста на тези промени и в изпълнение на стратегията на ЕС за постигане на максимално ниво на киберустойчивост, на 24.03.2023 г. Европейската комисия прие Програмата Цифрова Европа за цифров преход и киберсигурност за периода 2023-2024 г., в рамките, на която се предвижда да бъде осигурено финансиране на МСП и стартиращи бизнеси чрез Инвестиционната платформа за стратегически цифрови технологии по програмата InvestEU, за да се приспособят към новите регулаторни условия за киберсигурност.

Сферата на киберсигурността се развива непрестанно с оглед динамиката на отношения. Цифровизацията на бизнес процесите води не само до стремеж към постигане на съответствие с актуалните нормативни изисквания, но се налага като своеобразна превантивна мярка, която гарантира дигиталната сигурност на бизнеса и поддържането на адаптивни и коректни дигитални бизнес партньорства. Съветваме компаниите да извършат необходимите действия и преразгледат вътрешните си процедури, за да се подготвят за новите изисквания.

Екипът на Адвокатско дружество „Мургова и партньори“ притежава дългогодишна опит в  консултирането на бизнеса за постигане на нормативното съответствие и въвеждането на нови регулаторни изисквания на европейско и национално ниво. Материалът има информативен характер и не следва да бъде тълкуван като правен съвет. При нужда от консултация или допълнителна информация по повод повдигнатите въпроси в настоящия материал, бихте могли да се свържете чрез https://murgova.com/