2025 г. бележи повратна точка за киберсигурността в Европейския съюз: хората и бизнесите са обект на 5 нови регулации (графика: CC0 Public Domain)
Настоящата 2025 година се очертава като решаваща за прилагането на нови разпоредби, насочени към укрепване на цифровата устойчивост в организациите от Европейския съюз. Спазването на тези разпоредби е не само правен императив, но и фактор, който прави европейските компании по-конкурентоспособни и създава доверие както сред гражданите, така и сред глобалните финансови инвеститори.
От транспонирането на директивата NIS2 до влизането в сила на регламента DORA – както частните компании, така и публичните организации са изправени пред все по-взискателна регулаторна среда. Сега е от съществено значение те да разберат и предвидят предизвикателствата и възможностите, които новото законодателство поставя.
NIS2: нов хоризонт
Директива 2022/2555, по-известна като NIS2, установява обща рамка за киберсигурност в Европейския съюз с цел постигане на високо и еднакво ниво на сигурност във всички държави-членки. Тази директива би трябвало вече да е вградена в националните законодателства на страните-членки.
Процедурата TRIS, установена още с Директива 2015/1535, изисква от държавите в ЕС да уведомяват Комисията за проекти на технически регламенти, свързани с информационни продукти и услуги, за да се гарантира, че новите регулаторни текстове не създават неоправдани пречки пред правилното функциониране на вътрешния пазар. От датата на нотификацията започва тримесечен период на изчакване, през който както Европейската комисия, така и държавите-членки могат да разгледат текста и да направят промени и допълнения според. Освен това през този период държавата-членка, която е нотифицирала проекторегламента, не може да го одобри.
Новата норма NIS обхваща стратегически сектори и елиминира възможността, предвидена в NIS1, държавите-членки да въвеждат индивидуални критерии за идентификация. Тези промени водят до по-строга и по-унифицирана класификация на засегнатите субекти в категориите „съществени“ и „важни“ въз основа на техния размер и икономическо и социално въздействие. Компаниите трябва да спазват по-строги изисквания за сигурност, проактивно управление на рисковете, задълбочена оценка на доставчиците тип „трети страни“ и прилагане на задължителни мерки за киберсигурност.
Задълженията за докладване на инциденти също са затегнати с по-строги срокове и по-голяма степен на координация с компетентните органи на национално и европейско ниво. Завишават се изискванията както за надзор, така и за санкции, и се въвежда възможност за периодични проверки от страна на органа и задължителни одити.
Регламент DORA
Регламент 2022/2554 (DORA) се фокусира върху повишаването на „цифровата оперативна устойчивост“ на финансовите институции. Одобрена на 14 декември 2022 г., DORA се стреми да подобри сигурността и устойчивостта на информационните системи на предприятията от финансовия сектор с цел намаляване на технологичните рискове и киберзаплахите.
DORA е приложима за широк кръг от субекти във финансовия сектор, включително банки, фирми за инвестиционни услуги, мениджъри на фондове и застрахователи, както и техните критични доставчици на ИКТ услуги. Краткосрочните задължения, наложени от DORA, включват оценка и укрепване на вътрешното управление на свързаните с ИКТ рискове, формализиране на стратегия за дигитална устойчивост, наблюдавана на най-високо ниво, и изготвяне на планове за действие при извънредни ситуации в случай на инциденти с киберсигурността.
В средносрочен план субектите трябва да провеждат периодични тестове за дигитална устойчивост, да разработват стратегии за аутсорсинг (ако възлагат основни дейности и функции на външни изпълнители) и да гарантират приемственост и планове за възстановяване, които отговарят на изискванията на DORA. Санкциите за неспазване могат да бъдат сериозни, включително глоби или задължение за прекратяване на договори с доставчици на ИКТ услуги, които не отговарят на изискванията на този регламент.
eIDAS2: към европейска цифрова идентичност
eIDAS2 (Регламент 2024/1183) беше одобрен наскоро с основната цел създаване на европейска регулаторна рамка за цифрова идентичност. Приемането на този регламент има за цел да повиши доверието в електронните транзакции и да насърчи използването на технологии, които улесняват цифровата идентичност в ЕС, като се вземат за отправна точка електронната идентификация и услугите за доверие.
eIDAS2 въвежда по-строги изисквания за идентификация и удостоверяване на потребителите, с цел намаляване на рисковете от измама или кражба на самоличност при използване на електронни средства. За тази цел са включени нови услуги за доверие, като портфейли за цифрова самоличност (eWallets). Усъвършенствани са някои аспекти, свързани с използването на електронни времеви печати.
Субектите, засегнати от eIDAS2, трябва да оценят своите рискове, да анализират съответствието на предоставяните от тях услуги с изискванията на регламента и да отделят необходимите финансови и човешки ресурси за правилното му прилагане.
Нови регулаторни промени през 2025 г.
През януари 2025 г. в Европейския съюз бяха приети две нови регулаторни промени по отношение на киберсигурността.
От една страна е Регламент 2025/37, който коригира европейската рамка за сертифициране на киберсигурността за доставчиците на MSS (Управлявани услуги за сигурност), за да се предотврати фрагментирането на вътрешния пазар във връзка със схемите за сертифициране на киберсигурността.
От друга страна, Европейският регламент 2025/38 преструктурира Европейската система за предупреждение за киберсигурност и механизма за спешни кибер-случаи. Крайната цел е да подобри координацията и устойчивостта на засегнатите от значителни или мащабни инциденти в целия Европейски съюз.
С това изглежда, че 2025 г. бележи повратна точка за киберсигурността в Европейския съюз. Компаниите и публичните субекти, засегнати от гореспоменатите разпоредби, ще бъдат принудени да вземат предвид икономическите разходи за адаптиране към тях в своите бюджети. Те ще трябва да планират въвеждането на редица структурни промени в различни области като технологии, доставчици и човешки ресурси.