Ключовите изисквания произтичащи от NIS2
NIS2 се прилага за по-широк обхват от сектори и субекти от тези, които са обхванати от настоящата Директива NIS.
Надзор и отчетност на „управителния орган“ или кой за какво и как ще отговаря
NIS2 налага директни задължения на „управителните органи“ относно прилагането и надзора на спазването на законодателството от страна на тяхната организация. Нарушаването води до глоби и временна забрана за изпълнение на управленски функции, включително на ниво висше ръководство.
Мерки за управление на кибернетичния риск
NIS2 изисква субектите да прилагат мерки за управление на кибернетичния риск, които включват изисквания за намаляване на риска за сигурността и надлежна проверка на по веригата за доставки.
Изменени изисквания за докладване на инциденти
NIS2 налага задължения за уведомяване на етапи, включително първоначално уведомяване в рамките на 24 часа след узнаването на определени инциденти или киберзаплахи. Спореред досегашната NIS уведомяването трябваше да става „без неоправдано забавяне“. Уведомяването на етапи е „междинно“ и „окончателно“.
Глоби и наказания
На държавите членки се предоставя свобода да определят ефективни, пропорционални и възпиращи санкции за нарушения на NIS2, както и административни глоби за определени нарушения в размер до 10 милиона евро или 2% от общия (което от двете е по-високо).
Разширяване на обхвата
Отговорност по веригата за доставки
Законодателството има въздействие не само върху онези организации, които попадат пряко в обхвата му, но също така и върху техните доставчици и тези на услуги. При NIS2 се преминава към „съществени“ и „важни субекти“ и разширяване на сектора. Съгласно NIS2 наборът от субекти в обхвата ще бъде разширен, за да се включат определени „съществени“ субекти (посочени в приложение I на NIS2) и „важни“ субекти (описани в приложение II на NIS2).
В допълнение към секторите, обхванати от NIS, NIS2 касае и организации от следните сектори: цифрова инфраструктура и цифрови доставчици, включително доставчици на обществени електронни съобщителни мрежи или услуги, платформи за услуги за социални мрежи и услуги за центрове за данни, отпадъчни води и управление на отпадъците, производство на определени критични продукти (фармацевтични продукти, медицински устройства или химикали), храни, пощенски и куриерски услуги и публичната администрация.
Освен че покрива по-голям набор от сектори, NIS2 въвежда ограничение на размера, така че всички средни и големи субекти, които работят в секторите, обхванати от новия текст, ще трябва да спазват изискванията, съдържащи се в NIS2 и се прилага за определени „важни“ и „съществени“ субекти (независимо от техния размер) при определени обстоятелства. Например субекти, предоставящи определени обществени електронни съобщителни мрежи или обществено достъпни електронни съобщителни услуги регистри на имена на домейни от първо ниво и доставчици на услуги за системи за имена на домейни субекти, предлагащи услуги, при които потенциално прекъсване на тези услуги може да има въздействие върху обществената безопасност, обществената сигурност или общественото здраве субекти, предлагащи услуги, при които потенциално прекъсване на услугата може да предизвика системни рискове, особено в сектори, където прекъсването може да има трансгранично въздействие.
Отговорност на управлението за управление на риска за киберсигурността. NIS2 повишава нивото на отговорност, което „органите за управление“ (във формулировката на NIS2) на основни и важни субекти трябва да поемат, за да гарантират съответствие с елементите на NIS2. Той предвижда задължение на държавите-членки, когато прилагат NIS2, да гарантират това управление.