Член 21

Мерки за управление на риска в областта на киберсигурността

1.Държавите членки гарантират, че съществените и важните субекти предприемат подходящи и пропорционални технически, оперативни и организационни мерки за управление на рисковете за сигурността на мрежовите и информационните системи, които тези субекти използват при своите операции или при предоставяне на своите услуги, както и за предотвратяване или свеждане до минимум на въздействието на инцидентите върху получателите на услугите им и върху други услуги.

Като се вземат предвид последните постижения в тази област и, когато е приложимо, съответните европейски и международни стандарти, както и разходите за прилагането им, мерките, посочени в първа алинея, гарантират ниво на сигурност на мрежовите и информационните системи, съответстващо на породените рискове. При оценката на пропорционалността на тези мерки надлежно се вземат предвид степента на излагане на рискове на субекта, размерът на субекта и вероятността от възникване на инциденти, както и тяхната сериозност, включително тяхното обществено и икономическо въздействие.

2.Мерките, посочени в параграф 1, се основават на подход, обхващащ всички опасности, който има за цел да защити мрежовите и информационните системи и физическата среда на тези системи от инциденти, и включват поне следното:

а) политики за анализ на риска и сигурност на информационните системи;

б) действия при инцидент;

в) непрекъснатост на стопанската дейност, например управление на съхраняването на резервни копия на данните и възстановяване след бедствия, и управление на кризи;

г) сигурност на веригата за доставка, включително свързани със сигурността аспекти относно взаимовръзките между всеки субект и неговите преки снабдители или доставчици на услуги;

д) сигурност при придобиването на мрежови и информационни системи, разработване и поддръжка, включително предприемане на действия при уязвимости и оповестяването им;

е) политики и процедури за оценяване на ефективността на мерките за управление на риска в областта на киберсигурността;

ж) основни киберхигиенни практики и обучение в областта на киберсигурността;

з) политики и процедури относно използването на криптография и, когато е целесъобразно, криптиране;

и) сигурност на човешките ресурси, политики за контрол на достъпа и управление на активи;

й) използването на многофакторни решения за удостоверяване на автентичността или непрекъснато удостоверяване на автентичността, защитени гласови, видео и текстови съобщения и защитени системи за спешна комуникация в рамките на субекта, когато е целесъобразно.

3.Държавите членки гарантират, че когато разглеждат въпроса кои мерки по параграф 2, буква г) от настоящия член са подходящи, от субектите се изисква да вземат предвид уязвимостите, специфични за всеки пряк снабдител или доставчик на услуги, както и цялостното качество на продуктите и практиките в областта на киберсигурността на своите снабдители и доставчици на услуги, включително техните процедури за сигурно разработване. Държавите членки гарантират също така, че когато се разглежда въпросът кои мерки от посочените в същата буква са подходящи, от субектите се изисква да вземат предвид резултатите от координираните оценки на риска за сигурността на критичните вериги на доставка, извършени в съответствие с член 22, параграф 1.

4.Държавите членки гарантират, че когато един субект установи, че не спазва мерките, предвидени в параграф 2, той предприема без излишно забавяне всички необходими, подходящи и пропорционални коригиращи мерки.

5.До 17 октомври 2024 г. Комисията приема актове за изпълнение за определяне на техническите и методологичните изисквания за мерките, посочени в параграф 2, по отношение на доставчиците на DNS услуги, регистрите на имена на домейни от първо ниво, доставчиците на компютърни услуги „в облак“, доставчиците на услуги на центрове за данни, доставчиците на мрежи за доставка на съдържание, доставчиците на управлявани услуги, доставчиците на управлявани услуги за сигурност, доставчиците на онлайн места за търговия, на онлайн търсачките и на платформите на услуги за социални мрежи и доставчиците на удостоверителни услуги.

Комисията може да приема актове за изпълнение за определяне на техническите и методологичните изисквания, както и на секторни изисквания, ако е необходимо, по отношение на мерките по параграф 2, по отношение на съществените и важните субекти, различни от посочените в първа алинея от настоящия параграф.

При изготвянето на актовете за изпълнение, посочени в първа и втора алинея от настоящия параграф, Комисията доколкото е възможно следва европейските и международните стандарти, както и съответните технически спецификации. Комисията обменя становища и си сътрудничи с групата за сътрудничество и ENISA по проектите на актове за изпълнение в съответствие с член 14, параграф 4, буква д).

Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 39, параграф 2.