Изисквания за спазване на нормативните изисквания
С въвеждането на Директивата на ЕС 2022/2555, също наричана накратко NIS 2, изискванията за спазване на нормативните изисквания в компаниите се увеличиха. С NIS 2 се отговаря на заплахата от кибератаки в ЕС. Директивата регулира кибернетичната и информационната безопасност на компании и институции. Кибератаките вече се считат в целия свят за един от най-големите бизнес – рискове за предприятията.
NIS 2 заменя Директивата на ЕС 2016/1148 (NIS 1) и трябва да помогне за подобряване на киберсигурността в Европейския съюз и по-добра защита на предприятията. Изпълнението на директивата NIS 2 също така увеличава изискванията към управлението на риска и нормативната съобразност в много фирми. Ако мерките в предприятията не са изпълнени съответно, това може да доведе до санкции, казва икономическата кантора MTR Legal Rechtsanwälte.
ЕС прие директивата NIS 2 през 2023 година и до 2025 година държавите-членки трябва да я трансформират в национално право. Кои компании са засегнати от директивата зависи основно от типа на тяхната дейност. Директивата е разширена върху още компании, които се считат за основни (важни) и значими (важни). Това води до значително увеличаване на броя на предприятията и институциите, които трябва да се съобразяват с правните задължения пред Федералното бюро за сигурност в информационните технологии (BSI).
Засегнати критични инфраструктури
Към критичните инфраструктури, които вече попадаха под директивата NIS 1 като енергия, транспорт, здравеопазване, финанси, водоснабдяване и цифрова инфраструктура, сега са добавени и други сектори, засегнати от директивата NIS 2. Сред тях са публични електронни услуги, други цифрови услуги като социални платформи, управление на отпадъци и канализация, пощенски и куриерски услуги, публичната администрация или производство на критични продукти. Според оценките, около 29,000 компании в Германия в различни отрасли ще бъдат засегнати от прилагането на директивата NIS 2. Основно средни и големи фирми в критичните сектори ще бъдат призовани да предприемат подходящи мерки за киберсигурност и да установят ефективна нормативна съобразност. Те също ще бъдат задължени да информират компетентните органи за инцидентите със значителни нарушения или щети.
Директивата NIS 2 също съдържа положения за надзор, прилагане и доброволни взаимен преглед на партньорски принцип, за да се укрепят взаимното доверие и киберсигурността в цялата Европейска общност. Това също означава, че ръководството е задължено да бъде отговорно, ако не се спазват мерките за управление на риска от киберсигурност.
Реакция на атаки върху киберсигурността
Със директивата NIS 2 се създава и мрежа от екипи за реагиране при инциденти с компютърната сигурност, за да обменят информация за заплахите за сигурността и да реагират адекватно на инцидентите. Освен това се създава европейска мрежа от свързващи организации за киберкризи. Тази мрежа подкрепя регулярния обмен на информация между държавите-членки и органите на ЕС, за да реагират на инциденти и кризи от голям мащаб.
Все още не е определено как точно директивата NIS 2 ще бъде въведена в националното законодателство на Германия. Причината е, че въвеждането се забави поради предсрочните парламентарни избори. Ясно е обаче, че с въвеждането ѝ киберсигурността също ще стане тема за много средни компании.
Компаниите трябва да внедрят мерки за сигурност
Те се изправят пред предизвикателството да внедрят необходимите мерки за сигурност, за да защитят данните и критичната инфраструктура от възможни кибератаки. Затова трябва да бъдат взети необходимите технически и организационни мерки. Ако компанията стане жертва на кибератака, трябва да има планове за незабавно ограничаване на щетите и възстановяване на системите. Също така, компетентните органи трябва да бъдат информирани. Освен това, компаниите трябва редовно да провеждат тестове, за да идентифицират и отстраняват слабите места. Киберсигурността също трябва да присъства и във веригата на доставка. Ето защо трябва да се реагира и на рисковете и там.
Изпълнението на директивата NIS 2 създава предизвикателства за ефективна нормативна съобразност в засегнатите компании, тъй като също и управители и водещи органи могат да се окажат лично отговорни, ако необходимите мерки за сигурност не бъдат въведени.
MTR Legal Rechtsanwälte подкрепя компаниите при внедряване на ефективни системи за съответствие и се грижи да се спазват законовите изисквания. Като икономическа кантора MTR Legal дава консултации по спазване на нормативните изисквания и други въпроси на икономическото наказателно право.
С удоволствие осъществете контакт с нас!
