Днес, 17 октомври, изтича срокът за превръщане на Директива NIS2 в национално законодателство. Oганите на държавите членки вече могат да подвеждат под лична отговорност ръководителите на организациите, ако след киберинцидент се докаже груба небрежност.
Директивата категоризира критичните сектори като „съществени“ и „важни“ въз основа на размера и значението им за националната и европейска икономика. Всяко нарушение на нейните изисквания може да струва на „съществените“ организации до 10 милиона евро или 2% от световните годишни приходи. Максималната санкция за тези, определение като „важни“, е до 7 милиона евро или 1,4% от световните годишни приходи.
NIS2 задължава правоприлагащите агенции в държавите членки на ЕС да извършват проверки на сигурността, да издават предупреждения за нарушения и да докладват за инциденти в рамките на 24 часа. От националните екипи за спешно реагиране в областта на киберсигурността се изисква да споделят информация за киберзаплахи, уязвимости и пробиви.
Срокът за транспониране на директивата беше определен преди година от ЕП с цел страните членки да имат общи, пропорционални на рисковете и заплахите мерки за киберсигурност. Но приемането на нужното законодателство върви на различни скорости. Страните „отличници“ са едва 6 – Белгия, Гърция, Унгария, Хърватска, Литва и Латвия.
България този път е в една група с европейските лидери Франция, Германия и Италия, но не като добър пример. Страната ни изостава с приемането на необходимата правна рамка. Въпреки че публичното обсъждане на новия ни Закон за киберсигурност приключи още в началото на август, той все още не е попаднал в дневния ред на парламента.
Очаква се към този закон да се появи и нова версия на Наредба за минимални изисквания за мрежова и информационна сигурност. В нея трябва да бъдат заложени конкретните мерки, които всяка организация в обхвата на NIS2 трябва да въведе.
Ясна перспектива кога ще се случи това няма, но липсата на национално законодателство не е основание да се избегнат евентуални санкции.