29.11.2022

Съветът прие законодателство за гарантиране на високо общо ниво на киберсигурност в целия Съюз

Съветът прие законодателство за гарантиране на високо общо ниво на киберсигурност в целия Съюз с цел по-нататъшно подобряване на устойчивостта и капацитета за реагиране при инциденти на публичния и частния сектор и на ЕС като цяло.

Новата директива, наречена „МИС 2“, ще замени действащата директива за мрежовата и информационната сигурност (Директивата за МИС).

Подобряване на управлението на риска и инцидентите и по-тясно сътрудничество

МИС 2 ще определи основата за мерките за управление на риска в областта на киберсигурността и задълженията за докладване във всички сектори, обхванати от директивата, като енергетика, транспорт, здравеопазване и цифрова инфраструктура.

Преразгледаната директива има за цел да хармонизира изискванията за киберсигурност и прилагането на мерки за киберсигурност в различните държави членки. За да се постигне това, в нея се определят минимални правила за регулаторна рамка и механизми за ефективно сътрудничество между компетентните органи във всяка държава членка. Актуализира се списъкът на секторите и дейностите, за които се прилагат задължения в областта на киберсигурността, и се предвиждат средства за правна защита и санкции, за да се гарантира правоприлагането.

С директивата официално ще бъде създадена Европейската мрежа за връзка на организациите при киберкризи – EU-CyCLONe, която ще подпомага координираното управление на мащабни инциденти и кризи в областта на киберсигурността.

Разширяване на обхвата на правилата

Въпреки че съгласно старата директива за МИС държавите членки бяха отговорни да определят кои субекти ще отговарят на критериите, за да бъдат определени като оператори на основни услуги, с новата директива МИС 2 се въвежда правило за размер на предприятието като общо правило за определяне на регулираните субекти. Това означава, че всички средни и големи субекти, които извършват дейност в секторите от обхвата на директивата или предоставят услуги от нейния обхват, ще попаднат в нейното приложно поле.

Въпреки че преразгледаната директива запазва това общо правило, нейният текст включва допълнителни разпоредби, за да се гарантира пропорционалност, по-високо равнище на управление на риска и ясни критерии за критичност, за да могат националните органи да определят допълнителни субекти, обхванати от директивата.

В текста се пояснява също, че директивата няма да се прилага за субекти, извършващи дейности в области като отбраната или националната сигурност, обществената сигурност и правоприлагането. Съдебната власт, парламентите и централните банки също са изключени от обхвата.

МИС2 ще се прилага и за публичните администрации на централно и регионално равнище. Освен това държавите членки могат да решат тя да се прилага за такива субекти и на местно равнище.

Други промени, въведени с новото законодателство

Освен това директивата беше приведена в съответствие със специфичното секторно законодателство, по-специално Регламента относно оперативната устойчивост на цифровите технологии във финансовия сектор („DORA“) и Директивата относно устойчивостта на критичните субекти („УКС“), за да се осигури правна яснота и съгласуваност между МИС 2 и тези актове.

Доброволният механизъм за партньорско обучение ще повиши взаимното доверие и извличането на поуки от добрите практики и опит в Съюза, като по този начин ще допринесе за постигането на високо общо ниво на киберсигурност.

Освен това новото законодателство рационализира задълженията за докладване, за да се избегнат свръхдокладването и прекомерната тежест за обхванатите субекти.

Следващи стъпки

Директивата ще бъде публикувана в Официален вестник на Европейския съюз през следващите дни и ще влезе в сила на двадесетия ден след публикуването ѝ.

Държавите членки ще разполагат с 21 месеца от влизането в сила на директивата, за да включат разпоредбите в националното си право.

Към страницата за заседанията

Дата: 29.11.2022

Източник: www.consilium.europa.eu

Прочетено: 1206