Commission Guidelines on the application of Article 4 (1) and (2) of Directive (EU) 2022/2555 (NIS 2 Directive)

ЕВРОПЕЙСКАКОМИСИЯ Брюксел,13.9.2023г. C(2023)6068final СЪОБЩЕНИЕНАКОМИСИЯТА НасокинаКомисиятазаприлаганеначлен4,параграфи1и2отДиректива(ЕС)2022/2555(ДирективаМИС2) BGBG I.Въведение 1.Посилатаначлен4,параграф3отДиректива(ЕС)2022/2555наЕвропейскияпарламентинаСъветаот14декември2022годинаотносномеркизависокообщонивонакиберсигурноствСъюза(ДирективаМИС2),1до17юли2023г.Комисиятапредоставянасокизаизясняваненаприлаганетоначлен4,параграфи1и2отпосоченатадиректива. 2.Снастоящитенасокисеизясняваприлаганетонаразпоредбите,засягащивръзкатамеждуДиректива(ЕС)2022/2555инастоящите,кактоибъдещитеспецифичнизасектораправниактовенаСъюза,вкоитосеуреждатмеркитезауправлениетонарискавобласттанакиберсигурносттаилиизискваниятазадокладваненаинциденти.ВдопълнениетокъмнастоящитенасокисаизброениспецифичнитезасектораправниактовенаСъюза,закоитоКомисиятасчита,чепопадатвобхватаначлен4отДиректива(ЕС)2022/2555.Фактът,ченякойактнеепосоченвтовадопълнение,неозначавазадължително,четойнепопадавобхватанатазиразпоредба. 3.Визпълнениеначлен4,параграф3,третоизречениеотДиректива(ЕС)2022/2555КомисиятаевзелапредвиднаблюдениятанагрупатазасътрудничествозаМИСинаАгенциятанаЕвропейскиясъюззакиберсигурност(ENISA)предиприеманетонанастоящитенасоки. 4.НастоящитенасокинезасягаттълкуванетонаправотонаСъюзаотСъданаЕвропейскиясъюз. II.ЕквивалентностнаизискваниятазакиберсигурноствспецифичнитезасектораправниактовенаСъюза 5.Вчлен4,параграф1отДиректива(ЕС)2022/2555сепредвижда,чекогатоспецифичнизасектораправниактовенаСъюзаизискватсъщественитеиливажнитесубектидаприематмеркизауправлениенарискавобласттанакиберсигурносттаилидауведомяватзазначителниинциденти,икогатотезиизискванияиматнай-малкоравностоенефектнапредвиденитевпосоченатадирективазадължения,съответнитеразпоредбинаДиректива(ЕС)2022/2555,включителноразпоредбитеотноснонадзораиправоприлагането,предвиденивглаваVIIотсъщатадиректива,несеприлагатзатакивасубекти.Втазиразпоредбасепредвиждаоще,чекогатоспецифичнизасекторазаконодателниактовенаСъюзанеобхващатвсичкисубективконкретенсектор,попадащвобхватанаДиректива(ЕС)2022/2555,съответнитеразпоредбинатазидирективапродължаватдасеприлагатпоотношениенасубектите,коитонесаобхванатиоттезиспецифичнизасектораправниактовенаСъюза. 1ОВL333,27.12.2022г.,стр.80. II.1.Изискваниязауправлениенарискавобласттанакиберсигурността 6.Вчлен4,параграф2,букваа)отДиректива(ЕС)2022/2555сепредвижда,чемеркитезауправлениенарискавобласттанакиберсигурността,коитосъщественитеиливажнитесубектитрябвадаприематсъгласноспецифичнитезасектораправниактовенаСъюза,сесчитатзаравностойнипосиланазадълженията,предвиденивДиректива(ЕС)2022/2555,когатотезимеркисанай-малкоторавностойнипосиланамерките,определенивчлен21,параграфи1и2отпосоченатадиректива.КогатосеоценявадалиизискваниятавспецифичензасектораправенактнаСъюзаотносномеркитезауправлениенарискавобласттанакиберсигурносттасанай-малкоторавностойнипосиланамерките,определенивчлен21,параграфи1и2отДиректива(ЕС)2022/2555,изискваниятавтозиспецифичензасектораправенактнаСъюзаследвапонедасъответстватнаизискваниятанатезиразпоредбиилидагинадхвърлят,коетоозначава,чеспецифичнитезасектораразпоредбимогатдабъдатпо-подробнипосъществовсравнениесъссъответнитеразпоредбинаДиректива(ЕС)2022/2555. 7.Съгласночлен21,параграф1,първаалинеяотДиректива(ЕС)2022/2555държавитечленкигарантират,чесъщественитеиважнитесубектипредприематподходящиипропорционалнитехнически,оперативнииорганизационнимеркизауправлениенарисковетезасигурносттанамрежовитеиинформационнитесистеми,коитотезисубектиизползватприсвоитеоперацииилиприпредоставяненасвоитеуслуги.Тезимеркиследвадасаоснованинарискаидасавсъстояниедапредотвратятилидасведатдоминимумвъздействиетонаинцидентите.Вчлен21,параграф1,втораалинеяотДиректива(ЕС)2022/2555сепосочвакакследвадасеправиоценканапропорционалносттанатакивамерки2.Задължението,определеновчлен21,параграф1отДиректива(ЕС)2022/2555,споредкоетосеизисквасъщественитеиважнитесубектидапредприематподходящиипропорционалнимеркизауправлениенарискавобласттанакиберсигурността,сеотнасядовсичкиоперациииуслугинасъответниясубект,анесамодоконкретниактививобласттанаинформационнитетехнологии(„ИТ“)иликритичниуслуги,предоставяниотсубекта. 8.ПрипоставянетонаоценканаеквивалентносттанаспецифичензасектораправенактнаСъюзасъссъответнитеразпоредбиотносноуправлениетонакиберрисканаДиректива(ЕС)2022/2555,следвадасеобърнеособеновниманиенавъпросадализадължениятазасигурноствтозиправенактвключватмерки,целящигарантираненасигурносттанамрежовитеиинформационнитесистеми.Определениетоза „сигурностнамрежовитеиинформационнитесистеми“,съдържащосевчлен6,точка2отДиректива(ЕС)2022/2555,сеотнасядоспособносттанаинформационнитесистемидаиздържат—придаденоравнищенаувереност—навсякосъбитие,коетоможедазасегнеотрицателноналичността,автентичността,цялостносттаилиповерителносттанасъхранявани,пренасяниилиобработвани 2Вж.същосъображения78,81и82отпреамбюланаДиректива(ЕС)2022/2555. данниилинасвързанитестяхуслуги,предлаганиоттезимрежовииинформационнисистемиилидостъпничрезтях.Използванитевтоваопределениетермини„наличност“,„автентичност“,„цялостност“и„поверителност“сеотнасятдовс