Директивата за мрежова и информационна сигурност (МИС), приета през 2016 г., беше първото законодателство на ниво ЕС, насочено към подобряване на киберсигурността в държавите членки. Тя изискваше от доставчиците на основни услуги в сектори като енергетика, здравеопазване и транспорт да прилагат мерки за киберсигурност и да докладват значими инциденти. С развитието на киберзаплахите обаче възникна необходимостта от актуализирана рамка, което доведе до въвеждането на Директивата МИС2.
Основни разлики между МИС и МИС2:
Разширен обхват
- МИС: Директивата се фокусираше върху „оператори на основни услуги“, като енергетика и транспорт, както и върху някои „доставчици на цифрови услуги“, като търсачки и облачни услуги.
- МИС2: Значително разширява обхвата, като обхваща повече сектори, включително цифрова инфраструктура (например доставчици на DNS), публична администрация и хранително-вкусовата промишленост. Директивата вече се прилага както за „основни“, така и за „важни“ субекти, в зависимост от техния размер и значимост за сектора, което гарантира по-добра защита в икономиката.
Управление на рискове и изисквания за киберсигурност
- МИС: Изискваше практики за управление на рискове.
- МИС2: Въвежда по-строги изисквания, като особено внимание се отделя на сигурността на веригата за доставки и рисковете, свързани с трети страни. Освен това въвежда задължения за планиране на реакции при инциденти, криптиране и мерки за непрекъснатост на бизнеса, за да се гарантира по-добра готовност за киберинциденти.
Докладване на инциденти
- МИС: Изискваше докладване на киберинциденти до националните органи в разумен срок.
- МИС2: Налага по-детайлни и стриктни изисквания за докладване. Инцидентите трябва да се докладват в рамките на 24 часа, като се изискват последващи доклади до 72 часа и окончателен подробен доклад в рамките на един месец. Това значително затяга сроковете, правейки докладването по-незабавно и изчерпателно.
Хармонизация в рамките на ЕС
- МИС: Националните органи имаха по-голяма свобода на действие при прилагането на критериите.
- МИС2: Стреми се да подобри последователността в ЕС, като въвежда унифицирани критерии за определяне на засегнатите субекти. Това намалява фрагментацията, предоставяйки ясни насоки за класифициране на субектите и налагане на мерки за киберсигурност.
Принудително изпълнение и санкции
- МИС2: Въвежда по-строги механизми за принудително изпълнение. Ръководните органи на обхванатите субекти вече са изрично отговорни за спазването на изискванията и могат да понесат отговорност при неспазване на задълженията. Санкциите също са по-сериозни: глобите могат да достигнат до 10 милиона евро или 2% от световния оборот за основните субекти, което е значително увеличение в сравнение с МИС.
МИС2 отразява разбирането на ЕС за все по-взаимосвързания характер на рисковете в киберсигурността и цели да осигури по-висока устойчивост в критичните сектори. Тази актуализация се фокусира върху разширяване на обхвата, укрепване на рамките за киберсигурност и налагане на по-строги мерки за докладване и съответствие с цел по-добра защита срещу развиващите се киберзаплахи.
