Какво представлява директивата МИС2 (NIS2) и как ще се отрази на вашата организация?

от | септември 19, 2023 | Data protection, IT security

МИС2

В тази публикация обсъждаме какво е МИС2, за какви видове организации се прилага, новите изисквания за сигурност, на които организациите ще трябва да отговарят, и как ще се прилага.

Какво представлява директивата МИС2?

Директивата МИС2 е нова политика на ЕС, която всички държави-членки и организации, предоставящи услуги в рамките на ЕС, трябва да спазват до 18 октомври 2024 г. В основата си Директивата МИС2 има за цел да защити критични организации и инфраструктура в рамките на ЕС от киберзаплахи и да постигане на високо ниво на обща сигурност в целия ЕС.

За да постигне тази цел, МИС2 се фокусира върху организации, които предоставят основни услуги.

Ние зависим от тези организации за нормалното функциониране на обществото, което означава, че всяко прекъсване може да има голямо и сериозно въздействие върху, например, икономическите дейности или общественото здраве в рамките на ЕС.

Директивата включва по-строги изисквания за сигурност, нови задължения за докладване и разширени мерки за прилагане за по-широк обхват от организации в сравнение с първата директива за МИС.

Новата директива МИС2 обхваща 18 различни сектора с подсектори. Следните 11 сектора се считат за силно критични в МИС2.
  1. ЕНЕРГИЯ

Електричество

  • Доставчици на електроенергия
  • Оператори на разпределителни системи
  • Оператори на преносни системи
  • производители
  • Номинирани оператори на пазара на електроенергия
  • Участници на пазара, предоставящи услуги за агрегиране, отговор на търсенето или съхранение на енергия
  • Оператори и управители на точка за презареждане, която предоставя услуги за презареждане на крайни потребители, включително от името и за сметка на доставчик на услуги за мобилност

Централно отопление и охлаждане

  • Включва оператори на централно отопление или охлаждане.

 Нефт

  • Оператори на нефтопреносни тръбопроводи
  • Оператори на съоръжения за производство, рафиниране и третиране, съхранение и пренос на нефт
  • Централни акционерни субекти

Газ

  • Предприятия за доставка
  • Оператори на разпределителни системи
  • Оператори на преносни системи
  • Оператори на системи за съхранение
  • Системни оператори на LNG
  • Предприятия за природен газ
  • Оператори на съоръжения за рафиниране и третиране на природен газ

Водород

  • Включва оператори на производство, съхранение и пренос на водород.
  1. ТРАНСПОРТ

Въздушен транспорт

  • Въздушни превозвачи, използвани за търговски цели
  • Органи за управление на летища, летища и субекти, управляващи спомагателни инсталации в летищата
  • Оператори за контрол на управлението на трафика, предоставящи услуги за контрол на въздушното движение (ATC).

ЖП транспорт

  • Мениджъри на инфраструктура
  • Железопътни предприятия, включително оператори на обслужващи съоръжения

Воден транспорт

  • Компании за вътрешен, морски и крайбрежен пътнически и товарен воден транспорт – без отделните плавателни съдове, експлоатирани от тези компании
  • Управляващи органи на пристанищата, включително техните пристанищни съоръжения и субекти, експлоатиращи съоръжения и оборудване, съдържащо се в пристанищата
  • Оператори на услуги за движение на кораби (VTS)

Пътен транспорт

  • Пътни органи, отговорни за контрола на управлението на трафика – с изключение на публични субекти, за които управлението на трафика или експлоатацията на интелигентни транспортни системи е несъществена част от общата им дейност
  • Оператори на интелигентни транспортни системи
  1. БАНКИРАНЕ
  • Включва кредитни институции
  1. ИНФРАСТРУКТУРА НА ФИНАНСОВИЯ ПАЗАР
  • Оператори на места за търговия
  • Централни контрагенти (ЦК)
  1. ЗДРАВЕ
  • Доставчици на здравни услуги
  • Референтни лаборатории на ЕС
  • Субекти, извършващи изследователска и развойна дейност на лекарствени продукти
  • Предприятия, произвеждащи основни фармацевтични продукти и фармацевтични препарати
  • Субекти, произвеждащи медицински устройства, считани за критични по време на извънредна ситуация за общественото здраве
  1. ПИТЕЙНА ВОДА

Включва доставчици и дистрибутори на вода, предназначена за консумация от човека – с изключение на дистрибутори, за които дистрибуцията на вода за консумация от човека е несъществена част от общата им дейност по разпространение на други стоки.

  1. ОТПАДЪЧНИ ВОДИ

Включва предприятия за събиране, обезвреждане или пречистване на градски, битови отпадъчни води или промишлени отпадъчни води – с изключение на предприятия, за които събирането, обезвреждането или пречистването на градски, промишлени или битови отпадъчни води е несъществена част от общата им дейност .

  1. ЦИФРОВА ИНФРАСТРУКТУРА
  • Доставчици на Internet Exchange Point
  • Доставчици на DNS услуги, с изключение на оператори на основни сървъри за имена
  • Регистри на имена на TLD
  • Доставчици на облачни компютърни услуги
  • Доставчици на услуги за центрове за данни
  • Доставчици на мрежа за доставка на съдържание
  • Доставчици на доверителни услуги
  • Доставчици на обществени електронни съобщителни мрежи
  • Доставчици на обществено достъпни електронни съобщителни услуги

 

  1. УПРАВЛЕНИЕ НА ИКТ УСЛУГИТЕ (BUSINESS-TO-BUSINESS)
  • Доставчици на управлявани услуги
  • Доставчици на управлявани услуги за сигурност
  1. ПУБЛИЧНА АДМИНИСТРАЦИЯ
  • Субекти на публичната администрация на централните правителства
  • Органи на публична администрация на регионално ниво
  • Държавите-членки могат да прилагат NIS2 към:
    • а) публични административни единици на местно ниво;
    • б) образователни институции, по-специално когато те извършват критични изследователски дейности
  • Не се прилага за субекти на публичната администрация, които извършват своите дейности в областта на националната сигурност, обществената сигурност, отбраната или правоприлагането, включително предотвратяването, разследването, разкриването и наказателното преследване на престъпления
  1. КОСМОС

Оператори на наземна инфраструктура – притежавана, управлявана и експлоатирана от държави или частни лица – които поддържат предоставянето на космически услуги – с изключение на доставчици на обществени електронни съобщителни мрежи.

Директивата МИС2 определя 7 други критични сектора.
  1. ПОЩЕНСКИ И КУРИЕРСКИ УСЛУГИ
  • Доставчици на пощенски услуги, включително доставчици на куриерски услуги.
  1. УПРАВЛЕНИЕ НА ОТПАДЪЦИТЕ
  • Предприятия, извършващи управление на отпадъци – с изключение на предприятия, за които управлението на отпадъци не е основна икономическа дейност.
  1. ПРОИЗВОДСТВО И ДИСТРИБУЦИЯ НА ХИМИКАЛИ
  • Предприятия, извършващи производство на вещества и дистрибуция на вещества или смеси и предприятия, извършващи производство на изделия от вещества или смеси.
  1. ПРОИЗВОДСТВО, ПРЕРАБОТКА И ДИСТРИБУЦИЯ НА ХРАНИ
  • Включва хранителни предприятия, които се занимават с дистрибуция на едро и промишлено производство и преработка.
  1. ПРОИЗВОДСТВО
  • Производство на медицински изделия и медицински изделия за инвитро диагностика
  • Производство на компютърни, електронни и оптични продукти
  • Производство на електрооборудване
  • Производство на машини и оборудване
  • Производство на автомобили, ремаркета и полуремаркета
  • Производство на друга транспортна техника
  1. ЦИФРОВИ ДОСТАВЧИЦИ
  • Доставчици на онлайн пазари
  • Доставчици на онлайн търсачки
  • Доставчици на платформи за социални мрежи
  1. ИЗСЛЕДВАНИЯ

Включва изследователски организации – което означава образувание с основна цел провеждане на приложни изследвания или експериментална разработка и използване на резултатите от изследването за търговски цели, но което не включва образователни институции.

Ако вашата организация е в някой от секторите, изброени по-горе, без значение дали е в силно критичната или друга критична категория, тогава МИС2 може да се отнася за вас.

След това добавяме друг слой от категории. МИС2 дефинира две категории за обекти в обхвата: основни и важни.

Организациите и в двете категории трябва да отговарят на едни и същи изисквания за сигурност. Разликата е в това колко важни и съществени организации ще бъдат наблюдавани и санкционирани за неспазване.

ОСНОВНИ

  • Организации в силно критични сектори (вижте по-горе) с повече от 250 служители, годишен оборот над 50 милиона евро или баланс над 43 милиона евро
  • Независимо от размера: доставчици на доверителни услуги, регистри на имена на домейни от първо ниво и доставчици на DNS услуги
  • Доставчици на обществени електронни съобщителни мрежи или на обществено достъпни електронни съобщителни услуги с 50-250 служители или повече от 10 милиона евро приходи
  • Субекти на публичната администрация
  • Всяка друга много важна или друга организация, която е единственият доставчик на услугата в рамките на страната, или прекъсването на тяхната услуга може да има значително въздействие

Основните организации могат да бъдат наблюдавани проактивно, за да се гарантира, че отговарят на изискванията на Директивата МИС2.

ВАЖНИ СУБЕКТИ

  • Всички други силно критични или други критични организации, които не отговарят на квалификациите за основни субекти

На практика това означава организации в рамките на секторите, включени в Директивата МИС2 (по-горе), които са средни или по-малки (по-малко от 250 служители, имат годишен оборот под 50 милиона евро или баланс под 43 милиона евро).

Киберсигурност: 10 минимални мерки за сигурност, изисквани от МИС2

Според МИС2, организациите трябва да предприемат подходящи и пропорционални действия за управление на риска, за да предотвратят инциденти със сигурността и да сведат до минимум тяхното въздействие.

Директивата дава списък от 10 основни мерки, които всички организации трябва да предприемат.

  • Политики за анализ на риска и сигурност на информационните системи
  • Обработка на инциденти
  • Непрекъснатост на бизнеса, като управление на архивиране и възстановяване след бедствие и управление на кризи
  • Сигурност на веригата за доставки, включително аспекти, свързани със сигурността, отнасящи се до взаимоотношенията между всеки субект и неговите преки доставчици или доставчици на услуги
  • Сигурност при придобиване, развитие и поддръжка на мрежови и информационни системи, включително обработка и разкриване на уязвимости
  • Политики и процедури за оценка на ефективността на мерките за управление на риска за киберсигурността
  • Основни практики за киберхигиена и обучение по киберсигурност
  • Политики и процедури относно използването на криптография и, където е подходящо, криптиране
  • Сигурност на човешките ресурси, политики за контрол на достъпа и управление на активи
  • Използването на решения за многофакторно удостоверяване или непрекъснато удостоверяване, защитени гласови, видео и текстови комуникации и защитени системи за спешна комуникация в рамките на предприятието – когато е подходящо
По-високи санкции за нарушения на МИС2 и засилен надзор

Директивата МИС2дава минимални финансови санкции, които трябва да се прилагат, когато дадена организация не отговаря на изискванията за управление на риска за сигурността или за докладване на МИС2.

Основните субекти могат да бъдат глобени с най-малко €10 000 000 или 2% от общите глобални приходи за предходната година, което от двете е по-високо. Това е същата глоба, която се дава за по-леки нарушения на GDPR.

Важни субекти могат да бъдат глобени с най-малко €7 000 000 или 1,4% от общите глобални приходи за предходната година, което от двете е по-високо.

Организациите могат да очакват да бъдат контролирани чрез одити, инспекции на място и искания за информация/документация за съответствие с МИС2. Ако бъде установено нарушение на МИС2, организацията може да получи глоба, непарична санкция, като например заповед за съответствие, или ръководството може да бъде държано отговорно.

В по-голямата си част организациите ще бъдат контролирани от държавата, в която са установени – с някои изключения за организации в сектора на цифровата инфраструктура.

Нашите препоръки за вашата организация
NIS 2 – CyPro Bulgaria Ltd.

Ето четири стъпки, които да ви помогнат да започнете с работата си по МИС2.

Стъпка 1: Разберете дали вашата организация трябва да спазва Директивата МИС2

Можете да направите това, като прегледате секторите и ограниченията на размера за МИС2. Ако трябва да спазвате МИС2, продължете и започнете с оценка на риска.

Стъпка 2: Направете оценка на риска

Оценката на риска ви дава преглед на всички потенциални рискове за сигурността, с които вашата организация може да се сблъска, колко вероятни са те, колко голямо въздействие биха имали върху вашата организация и какво вече правите, за да управлявате този риск.

Стъпка 3: Въведете мерки за сигурност

След като сте решили какви промени в сигурността трябва да направите, е време да ги приложите в действие.

Когато въвеждате нови мерки за сигурност, уверете се, че сте покрили всичките 10 основни изисквания за сигурност, изброени в Директивата МИС2.

Трябва също така да разгледате вашата верига за доставки и взаимоотношения с доставчици, за да сте сигурни, че и техните мрежи са защитени. Важно е да се работи с партньори за обработка на данни, които имат високо ниво на сигурност, за да се гарантира сигурна верига за доставки.

Стъпка 4: Оценете ефективността на тези мерки

Ако вашите мерки за сигурност не са достатъчни или не работят по начина, по който сте очаквали, ето къде можете да видите това и да направите промени. Добре е да започнете отрано с работата си по МИС2, така че дори и да трябва да направите корекции, ще сте готови до октомври 2024 г.

Директивата МИС2 също така изисква обучение за осведоменост за сигурността – и повишаването на осведомеността ще бъде фокусна област за националните стратегии за киберсигурност на всяка страна.

Обучението по киберсигурност, рискове, умения за киберсигурност, информираност и добри кибер практики както за ръководството, така и за служителите е посочено като приоритет в текста на МИС2.

Интересувате ли се да прочетете повече за директивата МИС2? Европейската комисия отговори на някои често задавани въпроси тук.

Всичко, което трябва да знаете, за новата Директива NIS2 – (cypro.bg)

NIS2 – Управление на риска и докладване на инциденти – IT Services

Изпратете запитване