Как новата Директива (ЕС) 2022/2555 (NIS-2) засяга организациите в България

29.01.2025

 

Въведение

С въвеждането на новата Директива (ЕС) 2022/2555, известна като NIS-2, Европейският съюз цели да повиши общото ниво на киберсигурност в държавите членки. Тази директива разширява обхвата и задълженията, въведени с първоначалната Директива NIS, като добавя нови сектори, по-строги изисквания и по-сериозни санкции за неспазване. За организациите в България това означава значителни промени, които изискват своевременна подготовка и адаптация.

Кои организации са засегнати?

Една от най-важните промени, въведени с NIS-2, е разширеният обхват на засегнатите организации. Според директивата, в обхвата й попадат:

• Всички средни и големи предприятия в критични сектори, независимо дали са частни или публични.
• Организации, предоставящи обществени електронни съобщителни мрежи, удостоверителни услуги и управление на домейни.

Секторите, които са определени като „с висока степен на критичност“, включват:

• Енергетика – електроенергия, нефт, природен газ, водород.
• Транспорт – въздушен, воден, автомобилен транспорт.
• Здравеопазване – болници, лаборатории, фармацевтични компании.
• Питейна и отпадъчна вода.
• Цифрова инфраструктура – доставчици на облачни услуги, регистри на домейни, удостоверителни услуги.
• Управление на ИКТ услуги – доставчици на управлявани услуги и услуги за киберсигурност.
• Публична администрация – държавни и регионални институции.
• Космическо пространство – организации, работещи в този сектор.

Какви мерки трябва да предприемат организациите?

Новите изисквания на NIS-2 поставят акцент върху управлението на киберрискове и бързата реакция при инциденти. Организациите трябва да внедрят следните мерки:

Задължения на ръководните органи

• Одобрение и мониторинг на мерките за управление на киберрискове.
• Редовни обучения на висшия мениджмънт и служителите.
• Отговорност за неспазване на изискванията.

Технически и организационни мерки

• Политики за анализ на риска и сигурност на информационните системи.
• Планове за непрекъснатост на дейността и възстановяване от бедствия.
• Сигурност на веригата за доставки – контрол на доставчиците и партньорите.
• Механизми за ранно откриване и отстраняване на уязвимости.
• Използване на криптографски методи и многофакторна автентификация.
• Протоколи за реакция при инциденти и докладване към компетентните органи.

Изисквания за докладване

Организациите трябва да съобщават значителни инциденти без ненужно забавяне. Докладването включва:

• До 24 часа: ранно предупреждение за инцидент.
• До 72 часа: официално уведомление с първоначална оценка на въздействието.
• До 1 месец: подробен доклад с предприети мерки.

Последствия при неспазване

За да гарантира прилагането на директивата, NIS-2 предвижда сериозни санкции. Глобите за неспазване могат да достигнат:

• 10 милиона евро или 2% от глобалния годишен оборот за съществени субекти.
• 7 милиона евро или 1,4% от глобалния годишен оборот за важни субекти.

Заключение

Директива NIS-2 налага сериозни изисквания за киберсигурност, които ще засегнат множество организации в България. Секторите с висока критичност трябва да се подготвят за новите задължения, като внедрят ефективни мерки за управление на риска и реагиране при инциденти. Пренебрегването на тези изисквания може да доведе до сериозни финансови санкции и оперативни проблеми.

Какво могат да направят организациите сега?

• Оценка на текущото състояние на киберсигурността.
• Разработване на стратегия за съответствие с NIS-2.
• Обучение на персонала и ръководството.
• Внедряване на политики за управление на риска и реагиране при инциденти.

С правилната подготовка, българските организации могат не само да спазят изискванията на NIS-2, но и да подобрят своята устойчивост срещу киберзаплахи.

Полезни препратки:

• Пълният текст на НИС-2
• Законопроект за транслация на директивата в българското законодателство

Запазете час за консултация с експертния екип на Еволинк относно готовността на Вашата организация за съответствие с МИС-2.