Commission Guidelines on the application of Article 4 (1) and (2) of Directive (EU) 2022/2555 (NIS 2 Directive)

СЪОБЩЕНИЕ НА КОМИСИЯТА Насоки на Комисията за прилагане на член4, параграфи1 и 2 от Директива(ЕС)2022/2555 (Директива МИС2) I.Въведение 1.По силата на член4, параграф3 от Директива (ЕС)2022/2555 на Европейскияпарламент и на Съвета от 14декември 2022година относно мерки за високо общониво накиберсигурност в Съюза (Директива МИС2),1до 17юли 2023г. Комисиятапредоставя насоки за изясняване на прилагането на член 4, параграфи1 и 2 отпосочената директива. 2.С настоящите насоки се изяснява прилагането на разпоредбите, засягащи връзкатамежду Директива (ЕС)2022/2555 и настоящите, както и бъдещите специфични засектора правни актове на Съюза, в които се уреждат мерките за управлението нарискавобласттанакиберсигурносттаилиизискваниятазадокладваненаинциденти. В допълнението към настоящите насоки са изброени специфичните засектора правни актове на Съюза, за които Комисията счита, че попадат в обхвата начлен4 от Директива (ЕС)2022/2555. Фактът, че някой акт не е посочен в товадопълнение, не означава задължително, че той не попада в обхвата на тазиразпоредба. 3.В изпълнение начлен4, параграф3, трето изречение от Директива (ЕС)2022/2555Комисията е взела предвид наблюденията на групата за сътрудничество за МИС ина Агенцията на Европейския съюз за киберсигурност (ENISA) преди приеманетона настоящите насоки. 4.Настоящите насоки не засягат тълкуването на правото на Съюза от Съда наЕвропейския съюз. II.Еквивалентностнаизискваниятазакиберсигурноствспецифичнитезасектора правни актове на Съюза 5.Вчлен4,параграф1отДиректива(ЕС)2022/2555сепредвижда,чекогатоспецифични за сектора правни актове на Съюза изискват съществените или важнитесубекти да приемат мерки за управление на риска в областта на киберсигурносттаили да уведомяват за значителни инциденти, и когато тези изисквания имат най-малко равностоен ефект на предвидените в посочената директива задължения,съответните разпоредби на Директива (ЕС) 2022/2555, включително разпоредбитеотносно надзора и правоприлагането, предвидени в главаVII от същата директива,не се прилагат за такива субекти. В тази разпоредба сепредвижда още, че когатоспецифични за сектора законодателни актове на Съюза не обхващат всички субектив конкретен сектор, попадащ в обхвата на Директива (ЕС)2022/2555, съответнитеразпоредби на тази директива продължават да се прилагат по отношение насубектите, които не са обхванати от тези специфични за сектора правни актове наСъюза. Изисквания за управление на риска в областта на киберсигурността 6.В член4, параграф2, букваа) от Директива (ЕС)2022/2555 се предвижда, чемеркитезауправлениенарискавобласттанакиберсигурността,коитосъществените или важните субекти трябва да приемат съгласно специфичните засектора правни актове на Съюза, се считат за равностойни по сила на задълженията,предвиденивДиректива(ЕС)2022/2555,когатотезимеркисанай-малкоторавностойни по сила на мерките, определени в член21, параграфи1 и 2 отпосочената директива. Когато се оценява дали изискванията в специфичен засектора правен акт на Съюза относно мерките за управление на риска в областтанакиберсигурността са най-малкото равностойни по сила на мерките, определени вчлен21,параграфи1и2отДиректива(ЕС)2022/2555,изискваниятавтозиспецифичен за сектора правен акт на Съюза следва поне да съответстват наизискваниятанатезиразпоредбиилидагинадхвърлят,коетоозначава,чеспецифичните за сектора разпоредби могат да бъдат по-подробни по същество всравнение със съответните разпоредби на Директива (ЕС)2022/2555. 7.Съгласночлен21,параграф1,първаалинеяотДиректива(ЕС)2022/2555държавите членки гарантират, че съществените и важните субекти предприематподходящи и пропорционални технически, оперативни и организационни мерки зауправление на рисковете за сигурността на мрежовите и информационните системи,които тези субекти използват при своите операции или при предоставяне на своитеуслуги. Тези мерки следва да са основани на риска и да са в състояние дапредотвратят или да сведат до минимум въздействието на инцидентите. В член21,параграф1, втора алинея от Директива (ЕС)2022/2555 се посочва как следва да сеправи оценка на пропорционалността на такива мерки2. Задължението, определенов член21, параграф1 от Директива (ЕС)2022/2555, според което се изисквасъществените и важните субекти да предприемат подходящи и пропорционалнимерки за управление на риска в областта на киберсигурността, се отнася до всичкиоперации и услуги на съответния субект, а не само до конкретни активи в областтана информационните технологии („ИТ“) или критични услуги, предоставяни отсубекта. 8.При поставянето на оценка на еквивалентността на специфичен за сектора правенакт на Съюза със съответните разпоредби относно управлението на киберриска наДиректива (ЕС)2022/2555, следва да се обърне особено внимание на въпроса дализадълженията за сигурност втози правен акт включват мерки, целящи гарантиранена сигурността на мрежовите и информационните системи. Определението за„сигурност на мрежовите и информационните системи“, съдържащо се в член6,точка2отДиректива(ЕС)20