чл. 21 Директива (ЕС) 2022/2555 - препратки от други разпоредби
Член 21
Мерки за управление на риска в областта на киберсигурността
1.Държавите членки гарантират, че съществените и важните субекти предприемат подходящи и пропорционални технически, оперативни и организационни мерки за управление на рисковете за сигурността на мрежовите и информационните системи, които тези субекти използват при своите операции или при предоставяне на своите услуги, както и за предотвратяване или свеждане до минимум на въздействието на инцидентите върху получателите на услугите им и върху други услуги.
Като се вземат предвид последните постижения в тази област и, когато е приложимо, съответните европейски и международни стандарти, както и разходите за прилагането им, мерките, посочени в първа алинея, гарантират ниво на сигурност на мрежовите и информационните системи, съответстващо на породените рискове. При оценката на пропорционалността на тези мерки надлежно се вземат предвид степента на излагане на рискове на субекта, размерът на субекта и вероятността от възникване на инциденти, както и тяхната сериозност, включително тяхното обществено и икономическо въздействие.
2.Мерките, посочени в параграф 1, се основават на подход, обхващащ всички опасности, който има за цел да защити мрежовите и информационните системи и физическата среда на тези системи от инциденти, и включват поне следното:
а) политики за анализ на риска и сигурност на информационните системи;
б) действия при инцидент;
в) непрекъснатост на стопанската дейност, например управление на съхраняването на резервни копия на данните и възстановяване след бедствия, и управление на кризи;
г) сигурност на веригата за доставка, включително свързани със сигурността аспекти относно взаимовръзките между всеки субект и неговите преки снабдители или доставчици на услуги;
д) сигурност при придобиването на мрежови и информационни системи, разработване и поддръжка, включително предприемане на действия при уязвимости и оповестяването им;
е) политики и процедури за оценяване на ефективността на мерките за управление на риска в областта на киберсигурността;
ж) основни киберхигиенни практики и обучение в областта на киберсигурността;
з) политики и процедури относно използването на криптография и, когато е целесъобразно, криптиране;
и) сигурност на човешките ресурси, политики за контрол на достъпа и управление на активи;
й) използването на многофакторни решения за удостоверяване на автентичността или непрекъснато удостоверяване на автентичността, защитени гласови, видео и текстови съобщения и защитени системи за спешна комуникация в рамките на субекта, когато е целесъобразно.
3.Държавите членки гарантират, че когато разглеждат въпроса кои мерки по параграф 2, буква г) от настоящия член са подходящи, от субектите се изисква да вземат предвид уязвимостите, специфични за всеки пряк снабдител или доставчик на услуги, както и цялостното качество на продуктите и практиките в областта на киберсигурността на своите снабдители и доставчици на услуги, включително техните процедури за сигурно разработване. Държавите членки гарантират също така, че когато се разглежда въпросът кои мерки от посочените в същата буква са подходящи, от субектите се изисква да вземат предвид резултатите от координираните оценки на риска за сигурността на критичните вериги на доставка, извършени в съответствие с член 22, параграф 1.
4.Държавите членки гарантират, че когато един субект установи, че не спазва мерките, предвидени в параграф 2, той предприема без излишно забавяне всички необходими, подходящи и пропорционални коригиращи мерки.
5.До 17 октомври 2024 г. Комисията приема актове за изпълнение за определяне на техническите и методологичните изисквания за мерките, посочени в параграф 2, по отношение на доставчиците на DNS услуги, регистрите на имена на домейни от първо ниво, доставчиците на компютърни услуги „в облак“, доставчиците на услуги на центрове за данни, доставчиците на мрежи за доставка на съдържание, доставчиците на управлявани услуги, доставчиците на управлявани услуги за сигурност, доставчиците на онлайн места за търговия, на онлайн търсачките и на платформите на услуги за социални мрежи и доставчиците на удостоверителни услуги.
Комисията може да приема актове за изпълнение за определяне на техническите и методологичните изисквания, както и на секторни изисквания, ако е необходимо, по отношение на мерките по параграф 2, по отношение на съществените и важните субекти, различни от посочените в първа алинея от настоящия параграф.
При изготвянето на актовете за изпълнение, посочени в първа и втора алинея от настоящия параграф, Комисията доколкото е възможно следва европейските и международните стандарти, както и съответните технически спецификации. Комисията обменя становища и си сътрудничи с групата за сътрудничество и ENISA по проектите на актове за изпълнение в съответствие с член 14, параграф 4, буква д).
Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 39, параграф 2.
Препратки от актове 
Относими Актове на ЕС чл. 19 Регламент (ЕС) № 910/2014
Регламент (ЕС) № 910/2014Изисквания към доставчиците на неквалифицирани удостоверителни услуги
Член 19 aИзисквания към доставчиците на неквалифицирани удостоверителни услуги1. Доставчикът на неквалифицирани удостоверителни услуги:a) разполага с подходящи политики и предприема съответните мерки за управление на правните, стопанските, оперативните и други преки или косвени рискове, свързани с предоставянето на неквалифицираната удостоверителна услуга, които независимо от член 21 от Директива (ЕС) 2022/2555 включват най-малко мерките, свързани с:i) ...
чл. 2 Директива (ЕС) 2022/2555
Директива (ЕС) 2022/2555Обхват
Член 2Обхват1.Настоящата директива се прилага за публични или частни субекти от видовете, посочени в приложение I или II, които отговарят на критериите за средни предприятия съгласно член 2 от приложението към Препоръка 2003/361/ЕО или надхвърлят таваните за средни предприятия, посочени в параграф 1 от същия член, и които предоставят своите услуги или извършват дейности в рамките на Съюза.Член 3, параграф...
чл. 20 Регламент (ЕС) № 910/2014
Регламент (ЕС) № 910/2014Надзор над доставчиците на квалифицирани удостоверителни услуги
Член 20Надзор над доставчиците на квалифицирани удостоверителни услуги1. Доставчиците на квалифицирани удостоверителни услуги са обект на одит най-малко веднъж на 24 месеца за тяхна собствена сметка от орган за оценяване на съответствието. Одитът потвърждава, че доставчиците на квалифицирани удостоверителни услуги и предоставяните от тях квалифицирани удостоверителни услуги отговарят на изискванията, предвидени в настоящия регламент и в член 21 от Директива...
чл. 20 Директива (ЕС) 2022/2555
Директива (ЕС) 2022/2555Управление
Член 20Управление1.Държавите членки гарантират, че управителните органи на съществените и важните субекти одобряват мерките за управление на риска в областта на киберсигурността, предприети от тези субекти с цел спазване на член 21, следят за прилагането им и могат да бъдат подведени под отговорност за нарушение на посочения член от страна на субектите.Прилагането на настоящия параграф не засяга националното право по...
чл. 21 Регламент (ЕС) № 910/2014
Регламент (ЕС) № 910/2014Начало на предоставянето на квалифицирана удостоверителна услуга
Член 21Начало на предоставянето на квалифицирана удостоверителна услуга1. Когато доставчиците на удостоверителни услуги възнамеряват да започнат да предоставят квалифицирана удостоверителна услуга, те уведомяват надзорния орган за намерението си и му предоставят доклад за оценяване на съответствието, издаден от орган за оценяване на съответствието, в който доклад се потвърждава изпълнението на изискванията, определени в настоящия регламент и в член 21 от...
чл. 24 Регламент (ЕС) № 910/2014
Регламент (ЕС) № 910/2014Изисквания към доставчиците на квалифицирани удостоверителни услуги
Член 24Изисквания към доставчиците на квалифицирани удостоверителни услуги1. При издаването на квалифицирано удостоверение или квалифицирано електронно удостоверение за атрибути доставчикът на квалифицирани удостоверителни услуги проверява самоличността и ако е приложимо, специфични атрибути на физическото или юридическото лице, на което ще бъде издадено квалифицираното удостоверение или квалифицираното електронно удостоверение за атрибути.1а. Проверката на самоличността, посочена в параграф 1 се извършва...
чл. 25 Директива (ЕС) 2022/2555
Директива (ЕС) 2022/2555Стандартизация
Член 25Стандартизация1.С цел насърчаване на еднообразното прилагане на член 21, параграфи 1 и 2 държавите членки, без да налагат употребата на определен тип технология или да упражняват дискриминация в нейна полза, насърчават използването на европейски и международни стандарти и технически спецификации от значение за сигурността на мрежовите и информационните системи.2.В сътрудничество с държавите членки и след като се консултира със...
чл. 32 Директива (ЕС) 2022/2555
Директива (ЕС) 2022/2555Надзорни и правоприлагащи мерки по отношение на съществените субекти
Член 32Надзорни и правоприлагащи мерки по отношение на съществените субекти1.Държавите членки гарантират, че надзорните и правоприлагащи мерки, наложени на съществените субекти по отношение на определените в настоящата директива задължения, са ефективни, пропорционални и възпиращи, като се вземат предвид обстоятелствата по всеки отделен случай.2.Държавите членки гарантират, че при упражняването на своите надзорни задачи във връзка със съществените субекти компетентните органи имат...
чл. 33 Директива (ЕС) 2022/2555
Директива (ЕС) 2022/2555Надзорни и правоприлагащи мерки по отношение на важните субекти
Член 33Надзорни и правоприлагащи мерки по отношение на важните субекти1.Когато разполагат с доказателства, индикации или информация, че важен субект вероятно не изпълнява настоящата директива, и по-специално членове 21 и 23 от нея, държавите членки гарантират, че компетентните органи предприемат действия, при необходимост, посредством последващи надзорни мерки. Държавите членки гарантират, че тези мерки са ефективни, пропорционални и възпиращи, като вземат предвид...
чл. 34 Директива (ЕС) 2022/2555
Директива (ЕС) 2022/2555Общи условия за налагане на административни глоби на съществените и важните субекти
Член 34Общи условия за налагане на административни глоби на съществените и важните субекти1.Държавите членки гарантират, че наложените административни глоби на съществените и важните субекти съгласно настоящия член във връзка с нарушения на настоящата директива, са ефективни, пропорционални и възпиращи, като се вземат предвид обстоятелствата във всеки конкретен случай.2.Административни глоби се налагат в допълнение към която и да е от мерките,...