Член 2

Елементи, свързани със сигурността

1.Сигурността на системите и съоръженията по член 16, параграф 1, буква а) от Директива (ЕС) 2016/1148 означава сигурността на мрежите и информационните системи и на тяхната физическа среда и включва следните елементи:

а) систематично управление на мрежите и информационните системи, което означава картографиране на информационните системи и създаването на набор от подходящи политики относно управлението на информационната сигурност, включително анализ на риска, човешки ресурси, сигурност на операциите, архитектура за сигурност, управление на жизнения цикъл на защитени данни и системи и когато е приложимо — криптиране и неговото управление;

б) физическа сигурност и сигурност на средата, което означава наличието на набор от мерки за защита на мрежите и информационните системи на доставчиците на цифрови услуги от вреди, като се използва основан на риска подход, обхващащ всякакви видове опасности, в т.ч. повреда в системата, човешка грешка, злонамерени действия или природни явления;

в) сигурност на доставките, което означава създаване и поддържане на подходящи политики, с цел да се гарантира достъпността и когато е приложимо — проследимостта на доставки от първостепенно значение за предоставянето на услугите;

г) контрол на достъпа до мрежите и информационните системи, което означава наличие на набор от мерки, които гарантират, че физическият и логическият достъп до мрежите и информационните системи, включително административната сигурност на мрежите и информационните системи, са предмет на разрешение и са ограничени въз основа на стопанските изисквания и изискванията по отношение на сигурността.

2.Относно действията при инциденти по член 16, параграф 1, буква б) от Директива (ЕС) 2016/1148 предприетите от съответния доставчик на цифрови услуги мерки трябва да включват:

а) процеси и процедури за откриване, които се поддържат и проверяват, за да се гарантира навременна и подходяща осведоменост за необичайни събития;

б) процеси и политики относно докладването на инциденти и разкриването на слабости и уязвими места в неговите информационни системи;

в) реагиране в съответствие с установените процедури и докладване на резултатите от предприетите мерки;

г) оценка на сериозността на инцидента, документиране на наученото от анализа на инцидента и събиране на необходимата информация, която може да послужи като доказателство и да подкрепя процеса на непрекъснато подобряване.

3.Управлението на непрекъснатостта на дейностите по член 16, параграф 1, буква в) от Директива (ЕС) 2016/1148 означава способността на дадена организация да запази или при необходимост да възстанови предоставянето на услуги на приемливи, предварително зададени нива след водещ до смущения инцидент и трябва да включва:

а) изготвяне и използване на планове за действие при извънредни ситуации въз основа на анализ на въздействието върху стопанската дейност, за да се гарантира непрекъснатост на услугите, предоставяни от доставчиците на цифрови услуги; плановете се оценяват и проверяват редовно, например чрез провеждане на учения;

б) способности за възстановяване след бедствия, които се оценяват и проверяват редовно, например чрез провеждане на учения.

4.Наблюдението, одитът и изпитването по член 16, параграф 1, буква г) от Директива (ЕС) 2016/1148 трябва да включват създаването и поддържането на политики относно:

а) провеждането на планирана поредица от наблюдения или измервания за преценка дали мрежите и информационните системи работят според предназначението си;

б) инспектиране и контрол за проверка на изпълнението на изискванията по даден стандарт или набор от насоки, точността на записите и постигането на целите за ефикасността и ефективността;

в) процес, предназначен да разкрива недостатъците в механизмите за сигурност на дадена мрежа и информационна система, които защитават данните и поддържат предвидената функционалност. Този процес трябва да включва техническите процеси и персонала, които имат отношение към експлоатационния поток.

5.Международните стандарти по член 16, параграф 1, буква д) от Директива (ЕС) 2016/1148 означават стандарти, които са приети от международен орган по стандартизация, както е посочено в член 2, параграф 1, буква а) от Регламент (ЕС) № 1025/2012 на Европейския парламент и на Съвета . В съответствие с член 19 от Директива (ЕС) 2016/1148 могат да се използват и европейски или международно приети стандарти и спецификации от значение за сигурността на мрежите и информационните системи, включително съществуващи национални стандарти.

6.Доставчиците на цифрови услуги гарантират, че разполагат с подходяща документация, позволяваща на компетентния орган да провери спазването на посочените в параграфи 1, 2, 3, 4 и 5 елементи, свързани със сигурността.