Директива N 2016/1148 Европейского парламента и Совета Европейского Союза. Часть 2

1   2   3   4   5

(35) Поскольку большинство сетевых и информационных систем находится в частной собственности, сотрудничество между государственным и частным секторами имеет большое значение. Необходимо поощрять операторов основных услуг и провайдеров цифровых услуг в разработке своих собственных механизмов неформального сотрудничества для обеспечения безопасности сетевых и информационных систем. Группа по сотрудничеству при необходимости должна иметь возможность пригласить заинтересованные стороны принять участие в обсуждении. Для оказания активного содействия обмену информацией и передовым опытом необходимо обеспечить, чтобы операторам основных услуг и провайдерам цифровых услуг, участвующим в подобном обмене, не был причинен ущерб указанным сотрудничеством.

(36) ENISA должно оказывать помощь государствам-членам ЕС, предоставляя консультации и рекомендации, а также упрощая процесс обмена передовым опытом. В частности, в ходе применения настоящей Директивы Европейская Комиссия должна обращаться за консультациями к ENISA, а государства-члены ЕС должны иметь возможность обращаться за указанными консультациями. В целях наращивания потенциала и распространения знаний в государствах-членах ЕС обмен передовым опытом, обсуждение возможностей и готовности государств-членов ЕС на добровольной основе оказывать помощь членам Группы по сотрудничеству в оценке национальных стратегий по обеспечению безопасности сетевых и информационных систем, а также наращивание потенциала и оценка опыта в области обеспечения безопасности сетевых и информационных систем должны происходить также и в рамках деятельности Группы по сотрудничеству.

(37) При необходимости государства-члены ЕС должны иметь возможность в ходе применения настоящей Директивы использовать или приспосабливать уже существующие организационные структуры или стратегии.

(38) Сопредельные задачи Группы по сотрудничеству и ENISA взаимозависимы и дополняют друг друга. В целом ENISA должно оказывать помощь Группе по сотрудничеству в достижении ее задач в соответствии с целью ENISA, установленной в Регламенте (ЕС) 526/2013 Европейского Парламента и Совета ЕС <*>, а именно, оказывать помощь организациям, органам, учреждениям и агентствам Союза, а также государствам-членам ЕС в реализации политики, необходимой для выполнения законодательных и регламентарных требований в области обеспечения безопасности сетевых и информационных систем, в соответствии с действующими и принимаемыми в будущем правовыми актами Союза. В частности, ENISA должно оказывать содействие в областях, соответствующих его задачам согласно Регламенту (ЕС) 526/2013, а именно проведение анализа стратегий по обеспечению безопасности сетевых и информационных систем, обмен информацией и передовым опытом в области повышения осведомленности и проведения обучения. Также ENISA должно участвовать в разработке руководств по определению внутриотраслевых критериев оценки существенности влияния инцидентов.

——————————–

<*> Регламент (ЕС) 526/2013 Европейского Парламента и Совета ЕС от 21 мая 2013 г. о Европейском агентстве по сетевой и информационной безопасности (“ENISA”) и об отмене Регламента (ЕС) 460/2004 (ОЖ N L 165, 18.06.2013, стр. 41).

 

(39) В целях развития улучшенной безопасности сетевых и информационных систем Группа по сотрудничеству должна при необходимости сотрудничать с соответствующими организациями, органами, учреждениями и агентствами Союза для обмена ноу-хау и передовой практикой, а также для предоставления консультации по вопросам безопасности сетевых и информационных систем, оказывающим влияние на их деятельность, при одновременном соблюдении правил обмена секретной информацией. При сотрудничестве с правоохранительными органами по вопросам, связанным с обеспечением безопасности сетевых и информационных систем, затрагивающим их деятельность, Группа по сотрудничеству должна придерживаться существующих каналов обмена информацией и установленных сетей.

(40) Информация по инцидентам представляет особую значимость для общественности и предприятий, в частности для малых и средних предприятий. В некоторых случаях указанная информация также предоставляется через веб-сайты на национальном уровне на языке определенной страны и освещает инциденты и происшествия, произошедшие на территории государства. Учитывая, что указанные предприятия все чаще осуществляют трансграничную деятельность, а граждане пользуются онлайн-услугами, информация об инцидентах должна предоставляться в обобщенном виде на уровне Союза. Секретариату сети CSIRTs рекомендуется поддерживать веб-сайт или создать отдельную страницу на существующем веб-сайте, на которых будет размещена в общем доступе информация об основных инцидентах, произошедших на территории Союза, особое внимание в которой будет обращено на интересы и потребности предприятий. Поощряется участие CSIRTs в сетях CSIRTs для размещения информации на добровольной основе на указанном веб-сайте, за исключением конфиденциальной и секретной информации.

(41) Если информация в соответствии с нормами Союза и национальными нормами о коммерческой тайне считается конфиденциальной, указанная тайна должна быть гарантирована при осуществлении деятельности и выполнении обязательств в соответствии с настоящей Директивой.

(42) Учения, в рамках которых в режиме реального времени моделируются сценарии инцидентов, играют важную роль в проверке готовности государств-членов ЕС и степени их сотрудничества в области обеспечения безопасности сетевых и информационных систем. Цикл учений CyberEurope, проводимый ENISA при участии государств-членов ЕС, представляет собой полезный механизм для проведения проверки и составления рекомендаций по будущему улучшению действий, направленных на борьбу с инцидентами на уровне Союза. Поскольку в настоящее время государства-члены ЕС не обязаны участвовать в планировании или проведении учений, создание в соответствии с настоящей Директивой сети CSIRTs позволит государствам-членам ЕС принимать участие в учениях на основе точного планирования и принятия стратегических решений. В рамках Группы по сотрудничеству, учрежденной в соответствии с настоящей Директивой, должно проходить обсуждение стратегических решений, относящихся к учениям, в том числе по вопросам частоты проведения учений и их сценариев, но не ограничиваясь ими. В соответствии со своим мандатом ENISA должно поддерживать организацию и проведение учений на уровне Союза, предоставляя экспертную оценку и консультируя Группу по сотрудничеству и сеть CSIRTs.

(43) Принимая во внимание глобальный характер проблем в области безопасности сетевых и информационных систем, необходимо создавать более тесное международное сотрудничество для улучшения стандартов безопасности и обмена информацией, а также для содействия общему глобальному подходу к вопросам безопасности.

(44) В значительной степени ответственность за обеспечение безопасности сетевых и информационных систем лежит на операторах основных услуг и провайдерах цифровых услуг. Необходимо развивать культуру управления рисками, в том числе оценку рисков и осуществление мер по обеспечению безопасности в связи с возможными рисками, а также разрабатывать культуру путем принятия соответствующих нормативных требований и развития добровольной практики в определенной отрасли. Установление заслуживающих доверия равных условий также играет важную роль в обеспечении надлежащего функционирования Группы по сотрудничеству и сети CSIRTs и гарантировании эффективного сотрудничества государств-членов ЕС.

(45) Настоящая Директива распространяется только на те государственные административные органы, которые были идентифицированы как операторы основных услуг. Следовательно, государства-члены ЕС обязаны гарантировать безопасность сетевых и информационных систем административных органов, не подпадающих под сферу действия настоящей Директивы.

(46) Меры, направленные на управление рисками, включают в себя меры по определению любых рисков наступления инцидентов, по предотвращению, обнаружению и устранению инцидентов, а также по смягчению их последствий. Безопасность сетевых и информационных систем включает в себя безопасность хранения, передачи и обработки данных.

(47) За компетентными органами должно сохраниться право на принятие на национальном уровне руководств, касающихся обстоятельств, в которых операторы основных услуг должны уведомлять об инцидентах.

(48) Многие предприятия в Союзе полагаются на провайдеров цифровых услуг при оказании своих услуг. Поскольку некоторые цифровые услуги являются важным ресурсом для пользователей, в том числе операторов основных услуг, а также поскольку у указанных пользователей не всегда имеются иные варианты, настоящая Директива также должна применяться и к провайдерам указанных услуг. Безопасность, стабильность и надежность указанных в настоящей Директиве типов цифровых услуг играют ключевую роль в нормальном функционировании многих предприятий. Нарушение работы указанных цифровых услуг может препятствовать оказанию других услуг, основанных на цифровых услугах, а следовательно, повлиять на основные виды экономической и социальной деятельности в Союзе. В этой связи указанные цифровые услуги могут оказывать существенное влияние на нормальное функционирование зависящих от них предприятий и, более того, на деятельность указанных предприятий на внутреннем рынке и в области трансграничной торговли на территории Союза. Под действие настоящей Директивы подпадают те провайдеры цифровых услуг, на цифровые услуги которых полагается все больше предприятий в Союзе.

(49) Провайдеры цифровых услуг должны обеспечивать уровень безопасности, соответствующий степени риска, угрожающего безопасности предоставляемых ими цифровых услуг, с учетом влияния их услуг на функционирование других предприятий в Союзе. На практике степень риска операторов основных услуг, которые часто играют важную роль в поддержании ключевой социально-экономической деятельности, выше, чем степень риска провайдеров цифровых услуг. Следовательно, требования к провайдерам цифровых услуг в области обеспечения безопасности должны быть более мягкими. Провайдеры цифровых услуг должны сохранять за собой право принимать по своему усмотрению меры, необходимые для управления рисками, угрожающими безопасности их сетевых и информационных систем. В связи с трансграничной природой провайдеров цифровых услуг к ним должен применяться более гармонизированный подход на уровне Союза. Спецификации и имплементации указанных мер должны способствовать имплементационные акты.

(50) Хотя производители технического оборудования и разработчики программного обеспечения не являются операторами основных услуг или провайдерами цифровых услуг, их продукция повышает безопасность сетевых и информационных систем. В этой связи они играют важную роль в гарантировании операторами основных услуг и провайдерами цифровых услуг безопасности их сетевых и информационных систем. На указанные аппаратные и программные продукты также распространяются действующие нормы, регулирующие ответственность за качество продукции.

(51) Возложенные на операторов основных услуг и провайдеров цифровых услуг технические и организационные меры не должны возлагать обязанности по проектированию, разработке или производству определенным образом продуктов коммерческой информации и продуктов коммуникационных технологий.

(52) Операторы основных услуг и провайдеры цифровых услуг должны гарантировать безопасность используемых ими сетевых и информационных систем. Они, как правило, представляют собой частные сетевые или информационные сети, управляемые собственным IT-персоналом, или их безопасность обеспечивается за счет привлечения сторонних специалистов. Требования в области обеспечения безопасности и уведомления распространяются на операторов основных услуг и провайдеров цифровых услуг независимо от того, сами ли они осуществляют управление сетевыми и информационными системами или привлекают сторонних специалистов.

(53) Для того чтобы операторы основных услуг и провайдеры цифровых услуг не несли излишнее финансовое и административное бремя, требования должны соответствовать рискам, угрожающим соответствующим сетевым и информационным системам, с учетом последних технических разработок в области указанных мер. Что касается провайдеров цифровых услуг, указанные меры не применяются к микропредприятиям и малым предприятиям.

(54) Если органы государственного управления в государствах-членах ЕС пользуются услугами провайдеров цифровых услуг, в частности, операционными системами на базе облака, они имеют право требовать от провайдеров указанных услуг принятия дополнительных мер безопасности, выходящих за рамки мер, обычно предлагаемых провайдерами цифровых услуг в соответствии с настоящей Директивой. Сделать это возможно путем установления договорных обязательств.

(55) Содержащиеся в настоящей Директиве определения онлайн-магазинов, онлайн-поисковых систем и операционных систем на базе облака используются для конкретных целей настоящей Директивы и не затрагивают другие акты.

(56) Настоящая Директива не препятствует государствам-членам ЕС принимать национальные меры, требующие от органов государственного сектора обеспечивать выполнение особых требований в области безопасности при заключении договоров об использовании операционных систем на базе облака. Указанные национальные меры применяются к органам государственного сектора, а не к провайдерам операционных систем на базе облака.

(57) Учитывая фундаментальные различия между операторами основных услуг, в частности, их прямую связь с материальной базой, и провайдерами цифровых услуг, в частности, их трансграничную природу, в настоящей Директиве должны применяться различные подходы к указанным двум группам субъектов с точки зрения уровня гармонизации. В отношении операторов основных услуг государства-члены ЕС должны быть уполномочены проводить идентификацию соответствующих операторов и предъявлять к ним более строгие требования, чем установлены в настоящей Директиве. Государства-члены ЕС не должны проводить идентификацию провайдеров цифровых услуг, поскольку настоящая Директива применяется ко всем провайдерам цифровых услуг, подпадающим под ее сферу действия. Кроме того, настоящая Директива и принятые в соответствии с ней имплементационные акты должны обеспечивать высокий уровень гармонизации требований по обеспечению безопасности и уведомлению, предъявляемых к провайдерам цифровых услуг. Указанное требование позволит установить одинаковое отношение к провайдерам цифровых услуг на территории Союза, соответствующее их природе и уровню риска, с которым они могут столкнуться.

(58) Настоящая Директива не препятствует государствам-членам ЕС возлагать на предприятия, не являющиеся провайдерами цифровых услуг, подпадающими под действие настоящей Директивы, требования по обеспечению безопасности и уведомлению, без ущерба действию обязательств государств-членов ЕС в соответствии с законодательством Союза.

(59) Компетентные органы должны уделять внимание сохранению неформальных и надежных каналов обмена информацией. При предании гласности инцидентов, о которых было сообщено компетентным органам, должен соблюдаться баланс интересов общественности, которая имеет право получать информацию о возможных угрозах для репутации и коммерческих угрозах для операторов основных услуг и провайдеров цифровых услуг, сообщающих об инцидентах. При осуществлении своих обязательств по уведомлению компетентные органы и CSIRTs должны уделять особое внимание необходимости сохранять строгую конфиденциальность информации об уязвимости продукта до публикации соответствующих корректировок безопасности.

(60) Надзорная деятельность провайдеров цифровых услуг должна носить упрощенный характер, и характер последующего реагирования согласно природе оказываемых услуг и операций. В этой связи заинтересованные компетентные органы должны принимать меры только после получения от самого провайдера цифровых услуг, от другого компетентного органа, в том числе компетентного органа другого государства-члена ЕС, или от потребителя услуг доказательств того, что провайдер цифровых услуг не выполняет требований настоящей Директивы, в частности, вследствие наступления инцидента. Следовательно, на компетентные органы не должны возлагаться общие обязательства по надзору за провайдерами цифровых услуг.

(61) Компетентные органы должны обладать всеми необходимыми средствами для выполнения своих обязательств, в том числе полномочиями по получению достаточной для проведения оценки уровня безопасности сетевых и информационных систем информации.

(62) Инциденты могут быть результатом преступной деятельности, предупреждение, расследование и судебное преследование которой осуществляется при координации деятельности и взаимодействии операторов основных услуг, провайдеров цифровых услуг, компетентных органов и правоохранительных органов. Если существует подозрение, что инцидент связан с тяжкой преступной деятельностью в соответствии с правом Союза или национальным правом, государства-члены ЕС должны поощрять операторов основных услуг или провайдеров цифровых услуг за сообщение об инцидентах, которые могут быть связаны с тяжкими преступлениями, в соответствующие правоохранительные органы. При необходимости желательно, чтобы Европейский центр по борьбе с киберпреступностью <*> (EC3) и ENISA способствовали взаимодействию компетентных органов и правоохранительных органов.

——————————–

<*> Англ. – European Cybercrime Center – прим. перевод.

 

(63) Во многих случаях в результате инцидентов подвергаются риску персональные данные. В связи с этим компетентные органы и органы по надзору за соблюдением законодательства о защите персональных данных должны сотрудничать и обмениваться информацией по всем соответствующим вопросам для противодействия нарушениям персональных данных, вызванных инцидентами.

(64) Провайдеры цифровых услуг должны относиться к юрисдикции государств-членов ЕС, которые являются основным местом размещения в Союзе, что фактически соответствует месту размещения головного офиса провайдера в Союзе. Размещение подразумевает под собой эффективное фактическое осуществление деятельности в соответствии с устоявшимися формами организации. Правовая форма указанной организации, будь то филиал или дочернее предприятие, обладающие правоспособностью, в данном случае не является определяющим фактором. Указанный критерий не должен зависеть от фактического расположения сетевых или информационных систем в указанном месте; само по себе наличие и использование указанных систем не представляет собой указанное основное место размещения, а следовательно, не является критерием для определения основного места размещения.

(65) Если провайдер цифровых услуг, не учрежденный на территории Союза, оказывает услуги на территории Союза, он должен назначить представителя. Для того чтобы определить, оказывает ли провайдер цифровых услуг услуги на территории Союза, необходимо бесспорно установить, что провайдер цифровых услуг намерен предлагать свои услуги лицам в одном или нескольких государствах-членах ЕС. Только доступность в Союзе веб-сайта провайдера цифровых услуг или его посредника, его адреса электронной почты или иной контактной информации, а также использование языка, обычно используемого в третьей стране, в которой учрежден провайдер цифровых услуг, не является достаточным подтверждением указанных намерений. Однако такие факты, как использование языка или валюты, обычно используемых в одном или нескольких государствах-членах ЕС, с предоставлением возможности заказа услуг на указанном языке или упоминание находящихся в Союзе потребителей или пользователей, могут явно свидетельствовать о намерении провайдера цифровых услуг оказывать услуги на территории Союза. Представитель должен действовать от имени провайдера цифровых услуг, а компетентным органам или CSIRTs должна быть предоставлена возможность связаться с представителем. В письменном предписании провайдера цифровых услуг должно быть четко указано на полномочия представителя действовать от имени провайдера по обязательствам последнего, установленным в настоящей Директиве, в том числе сообщать об инцидентах.

(66) Стандартизация требований в области безопасности представляет собой процесс, подчиняющийся законам рынка. В целях обеспечения единообразного применения стандартов безопасности государства-члены ЕС должны поощрять соответствие установленным стандартам или их соблюдение в целях обеспечения высокого уровня безопасности сетевых и информационных систем на уровне Союза. ENISA должно оказывать в этом содействие государствам-членам ЕС путем предоставления консультаций и рекомендаций. Для достижения указанной цели будет целесообразно разработать проект гармонизированных стандартов в соответствии с Регламентом (ЕС) 1025/2012 Европейского Парламента и Совета ЕС <*>.

——————————–

<*> Регламент (ЕС) 1025/2012 Европейского Парламента и Совета ЕС от 25 октября 2012 г. о европейской стандартизации, изменении Директив 89/686/ЕЭС и 93/15/ЕЭС Совета ЕС и Директив 94/9/EC, 94/25/EC, 95/16/EC, 97/23/EC, 98/34/EC, 2004/22/EC, 2007/23/EC, 2009/23/EC и 2009/105/EC Европейского Парламента и Совета ЕС (ОЖ N L 316, 14.11.2012, стр. 12).

 

(67) Организации, не подпадающие под сферу действия настоящей Директивы, могут столкнуться с инцидентами, оказывающими серьезное влияние на оказываемые ими услуги. Если организации решат, что сообщение о возникновении указанных инцидентов соответствует общественным интересам, они должны иметь возможность добровольно сообщить о них. Указанные сообщения должны рассматриваться компетентными органами или CSIRT, за исключением случаев, когда такое рассмотрение может возложить на заинтересованные государства-члены ЕС чрезмерное и неоправданное бремя.

(68) С целью обеспечения единых условий имплементации настоящей Директивы имплементационные полномочия по принятию процессуальных норм, необходимых для функционирования группы по сотрудничеству, и по принятию требований в области обеспечения безопасности и нотификации, применимых к провайдерам цифровых услуг, должны быть возложены на Европейскую Комиссию. Указанные полномочия должны осуществляться в соответствии с Регламентом (ЕС) 182/2011 Европейского Парламента и Совета ЕС <*>. При принятии имплементационных актов в отношении процедурных норм, необходимых для функционирования группы по сотрудничеству, Европейская Комиссия должна учитывать заключение ENISA.

——————————–

<*> Регламент (ЕС) 182/2011 Европейского Парламента и Совета ЕС от 16 февраля 2011 г., устанавливающий правила и общие принципы относительно механизмов контроля государствами-членами ЕС выполнения Европейской Комиссией имплементационных полномочий (ОЖ N L 55, 28.02.2011, стр. 13).

 

(69) При принятии имплементационных актов в отношении требований в области обеспечения безопасности, применимых к провайдерам цифровых услуг, Европейская Комиссия должна учитывать заключение ENISA, а также должна консультироваться с заинтересованными сторонами. Кроме того, Европейской Комиссии рекомендуется принимать во внимание следующие примеры: в отношении безопасности систем и предприятий: физическую и экологическую безопасность, безопасность поставок, контроль доступа к сетевым и информационным системам и целостность сетевых и информационных систем; в отношении управления инцидентами: процедуры управления инцидентами, способность выявления инцидентов, отчеты и сообщения об инцидентах; в отношении управления устойчивостью бизнеса: стратегию непрерывности услуг и чрезвычайный план, средства аварийного восстановления; и в отношении мониторинга, аудита и тестирования: политику в области мониторинга и регистрации данных, осуществление чрезвычайных планов, тестирование сетевых и информационных систем, оценку безопасности и мониторинг соответствия.

(70) При имплементации настоящей Директивы Европейская Комиссия должна при необходимости устанавливать связь с соответствующими отраслевыми комитетами и соответствующими органами, учрежденными на уровне Союза, в областях, подпадающих под действие настоящей Директивы.

(71) Европейская Комиссия должна периодически пересматривать положения настоящей Директивы, прибегая к консультациям с заинтересованными сторонами, в частности, с точки зрения необходимости внесения изменений в свете изменений в обществе, политике, а также технологических или рыночных условиях.

(72) Процесс обмена информацией по вопросам рисков и инцидентов в рамках Группы по сотрудничеству и сети CSIRTs, а также процесс выполнения требований по уведомлению национальных компетентных органов или CSIRTs об инцидентах может потребовать обработки персональных данных. Указанная обработка должна соответствовать требованиям Директивы 95/46/ЕС Европейского Парламента и Совета ЕС <*> и Регламента (ЕС) 45/2001 Европейского Парламента и Совета ЕС <**>. При применении настоящей Директивы при необходимости должен применяться Регламент (ЕС) 1049/2001 Европейского Парламента и Совета ЕС <***>.

——————————–

<*> Директива 95/46/ЕС Европейского Парламента и Совета ЕС от 24 октября 1995 г. о защите физических лиц в отношении обработки персональных данных и о свободном обращении таких данных (ОЖ N L 281, 23.11.1995, стр. 31).

<**> Регламент (ЕС) 45/2001 Европейского Парламента и Совета ЕС от 18 декабря 2000 г. о защите физических лиц в отношении обработки персональных данных, осуществляемой учреждениями и органами Сообщества, и о свободном обращении таких данных (ОЖ N L 8, 12.01.2001, стр. 1).

<***> Регламент (ЕС) 1049/2001 Европейского Парламента и Совета ЕС от 30 мая 2001 г. о доступе к документам Европейского Парламента, Совета ЕС и Европейской Комиссии (ОЖ N L 145, 31.05.2001, стр. 43).

 

(73) В соответствии со Статьей 28(2) Регламента (ЕС) 45/2001 с Европейским инспектором по защите данных были проведены консультации, и он представил свое заключение от 14 июня 2013 г. <*>

——————————–

<*> ОЖ N C 32, 04.02.2014, стр. 19.

 

(74) Поскольку цель настоящей Директивы, а именно достижение единого высокого уровня безопасности сетевых и информационных систем в Союзе, не может быть полностью достигнута государствами-членами ЕС, но в силу последствий деятельности может быть эффективнее достигнута на уровне Союза, Союз может принять меры в соответствии с принципом субсидиарности, установленным в Статье 5 Договора о Европейском Союзе. В соответствии с принципом пропорциональности, установленным данной Статьей, настоящая Директива не выходит за пределы того, что необходимо для достижения указанной цели.

(75) Настоящая Директива учитывает основные права и соблюдает принципы, признанные Хартией Европейского Союза об основных правах, в частности, право на уважение частной жизни и конфиденциальность сообщений, защиту личных данных, свободу ведения бизнеса, право собственности, право на эффективное средство досудебной правовой защиты и право быть выслушанными. Имплементация настоящей Директивы должна осуществляться в соответствии с указанными правами и принципами,

Приняли настоящую Директиву:

1   2   3   4   5

No votes yet.
Please wait...

Просмотров: 101

Добавить комментарий

Ваш e-mail не будет опубликован.

*

code