БЕЗОПАСНОСТЬ СЕТЕВЫХ И ИНФОРМАЦИОННЫХ СИСТЕМ ОПЕРАТОРОВ ОСНОВНЫХ УСЛУГ

1   2   3   4   5

Глава IV. БЕЗОПАСНОСТЬ СЕТЕВЫХ И ИНФОРМАЦИОННЫХ СИСТЕМ ОПЕРАТОРОВ ОСНОВНЫХ УСЛУГ

 

Статья 14

Требования по обеспечению безопасности и уведомление об инциденте

 

  1. Государства-члены ЕС гарантируют, что операторы основных услуг принимают необходимые пропорциональные технические и организационные меры, направленные на управление рисками, связанными с используемыми ими в процессе работы сетевыми и информационными системами. Указанные меры должны гарантировать уровень безопасности сетевых и информационных систем, соответствующий имеющимся рискам согласно уровню технического развития.
  2. Государства-члены ЕС гарантируют, что операторы основных услуг принимают необходимые меры, направленные на предупреждение и минимизацию воздействия инцидентов, влияющих на безопасность сетевых и информационных систем, используемых для оказания основных услуг, с точки зрения их непрерывности.
  3. Государства-члены ЕС гарантируют, что операторы основных услуг незамедлительно уведомляют компетентный орган или CSIRT об инцидентах, оказывающих существенное воздействие на непрерывность оказываемых ими услуг. Уведомление должно содержать сведения, позволяющие компетентному органу или CSIRT определить наличие трансграничного воздействия инцидента. Уведомление не повышает ответственности уведомляющей стороны.
  4. При определении существенности влияния инцидента необходимо учитывать следующие параметры:

(a) количество пользователей, пострадавших от сбоев в оказании основной услуги;

(b) продолжительность инцидента;

(c) географическое распространение области, пострадавшей от инцидента.

  1. На основании информации, предоставленной оператором основных услуг в уведомлении, компетентный орган или CSIRT должны уведомить другое пострадавшее государство-член ЕС (государства-члены ЕС) об инциденте, который оказал существенное влияние на непрерывность оказания основных услуг в указанном государстве-члене ЕС. При этом компетентный орган или CSIRT в соответствии с законодательством Союза или национальным законодательством, соответствующим законодательству Союза, должны сохранять безопасность и коммерческие интересы оператора основных услуг, а также конфиденциальность информации, содержащейся в уведомлении.

Если обстоятельства позволяют, компетентный орган или CSIRT должны предоставить уведомляющему оператору основных услуг соответствующую информацию, содержащую сведения о действиях, предпринятых после получения уведомления, например, информацию, направленную на обеспечение эффективного управления инцидентом.

По требованию компетентного органа или CSIRT единый контактный пункт передает уведомления согласно первому подпараграфу в единые контактные пункты других пострадавших государств-членов ЕС.

  1. После консультаций с уведомляющим оператором основных услуг компетентный орган или CSIRT могут обнародовать сведения об отдельных инцидентах, если указанное обнародование необходимо для предупреждения инцидента или разрешения длящегося инцидента.
  2. Компетентные органы совместно в рамках Группы по сотрудничеству могут разработать и принять руководства в отношении обстоятельств, при которых операторы основных услуг обязаны уведомлять об инцидентах, в том числе о параметрах определения существенности влияния инцидента в соответствии с параграфом 4.

 

Статья 15

Имплементация и применение

 

  1. Государства-члены ЕС гарантируют, что компетентные органы обладают необходимыми полномочиями и ресурсами для проведения оценки исполнения операторами основных услуг своих обязательств, установленных в Статье 14, а также влияния указанной деятельности на обеспечение безопасности сетевых и информационных систем.
  2. Государства-члены ЕС гарантируют, что компетентные органы обладают полномочиями и ресурсами, необходимыми для требования от операторов основных услуг предоставления:

(a) информации, необходимой для проведения оценки безопасности сетевых и информационных систем, в том числе документально оформленных правил безопасности;

(b) доказательств эффективного применения правил безопасности, например, результаты аудита безопасности, проводимого компетентным органом или квалифицированным аудитором, а в последнем случае – предоставление результатов аудита компетентным органам, в том числе подтверждающих результаты сведений.

Если компетентный орган требует предоставления указанной информации или доказательств, он должен указать цели запроса и определить перечень запрашиваемой информации.

  1. После проведения оценки информации или результатов аудита безопасности, указанных в параграфе 2, компетентный орган может дать оператору основных услуг обязательные для исполнения рекомендации по устранению выявленных недостатков.
  2. При работе с инцидентами, связанными с нарушением персональных данных, компетентные органы должны тесно сотрудничать с органами по надзору за соблюдением законодательства о защите персональных данных.

 

Глава V. БЕЗОПАСНОСТЬ СЕТЕВЫХ И ИНФОРМАЦИОННЫХ СИСТЕМ ПРОВАЙДЕРОВ ЦИФРОВЫХ УСЛУГ

 

Статья 16

Требования по обеспечению безопасности и уведомление об инциденте

 

  1. Государства-члены ЕС гарантируют, что провайдеры цифровых услуг определяют и принимают необходимые пропорциональные технические и организационные меры, направленные на управление рисками, связанными с используемыми ими в процессе оказания на территории Союза услуг, указанных в Приложении III, сетевыми и информационными системами. Указанные меры должны гарантировать уровень безопасности сетевых и информационных систем, соответствующий имеющимся рискам согласно уровню технического развития, с учетом следующих элементов:

(a) безопасность сетей и предприятий;

(b) управление инцидентами;

(c) управление устойчивостью бизнеса;

(d) мониторинг, аудит и тестирование;

(e) соответствие международным стандартам.

  1. Государства-члены ЕС гарантируют, что провайдеры цифровых услуг принимают необходимые меры, направленные на предупреждение и минимизацию воздействия инцидентов, влияющих на безопасность сетевых и информационных систем, используемых для оказания на территории Союза услуг, указанных в Приложении III, с точки зрения их непрерывности.
  2. Государства-члены ЕС гарантируют, что провайдеры цифровых услуг незамедлительно уведомляют компетентный орган или CSIRT об инцидентах, оказывающих существенное воздействие на оказание на территории Союза услуг, указанных в Приложении III. Уведомление должно содержать сведения, позволяющие компетентному органу или CSIRT определить наличие трансграничного воздействия инцидента. Уведомление не повышает степени ответственности уведомляющей стороны.
  3. При определении существенности влияния инцидента необходимо учитывать следующие параметры:

(a) количество пользователей, пострадавших от инцидента, в частности, пользователей, использующих услугу для предоставления своих услуг;

(b) продолжительность инцидента;

(c) географическое распространение области, пострадавшей от инцидента;

(d) степень нарушения услуги;

(e) степень воздействия на экономическую и социальную деятельность.

Обязательства по уведомлению об инциденте распространятся на провайдеров цифровых услуг, только если они имеют доступ к информации, необходимой для проведения оценки влияния инцидента с точки зрения параметров, указанных в первом подпараграфе.

  1. Если оператор основных услуг в ходе оказания услуг, являющихся основными с точки зрения поддержания важнейшей социальной и экономической деятельности, пользуется услугами провайдера цифровых услуг третьей стороны, указанный оператор обязан уведомить о существенном влиянии инцидента, от которого пострадал провайдер цифровых услуг, на непрерывность оказания основных услуг.
  2. При необходимости, например, в тех случаях, когда инцидент, указанный в параграфе 3, затронул интересы нескольких государств-членов ЕС, компетентный орган или CSIRT должны уведомить другие пострадавшие государства-члены ЕС. При этом компетентные органы, CSIRTs или единые контактные пункты в соответствии с законодательством Союза или национальным законодательством, соответствующим законодательству Союза, должны сохранять безопасность и коммерческие интересы провайдера цифровых услуг, а также конфиденциальность информации, содержащейся в уведомлении.
  3. После консультаций с заинтересованным провайдером цифровых услуг компетентный орган или CSIRT, а при необходимости органы или CSIRTs других заинтересованных государств-членов ЕС могут обнародовать сведения об отдельных инцидентах или потребовать от провайдера цифровых услуг обнародовать указанные сведения, если указанное обнародование необходимо для предупреждения инцидента, разрешения длящегося инцидента или необходимо для соблюдения общественных интересов по иным основаниям.
  4. Европейская Комиссия должна принять имплементационные акты, подробнее определяющие элементы, указанные в параграфе 1, и параметры, перечисленные в параграфе 4 настоящей Статьи. Указанные имплементационные акты принимаются в соответствии с процедурой проверки, указанной в Статье 22(2), до 9 августа 2017 г.
  5. Европейская Комиссия должна принять имплементационные акты, устанавливающие формат уведомления и процедурные требования к уведомлению. Указанные имплементационные акты принимаются в соответствии с процедурой проверки, указанной в Статье 22(2).
  6. Без ущерба действию положений Статьи 1(6) государства-члены ЕС не могут возлагать на провайдеров цифровых услуг дополнительные требования по обеспечению безопасности и уведомлению.
  7. Глава V не применяется к микропредприятиям и малым предприятиям согласно положениям Рекомендации 2003/361/ЕС Европейской Комиссии <*>.

——————————–

<*> Рекомендация 2003/361/ЕС Европейской Комиссии от 6 мая 2003 г. относительно определения микропредприятий, малых и средних предприятий (ОЖ N L 124, 20.05.2003, стр. 60).

 

Статья 17

Имплементация и применение

 

  1. Государства-члены ЕС гарантируют, что компетентные органы при необходимости принимают надзорные меры последующего реагирования после получения доказательств того, что провайдер цифровых услуг не выполняет требования, установленные в Статье 16. Указанные доказательства могут быть представлены компетентным органом другого государства-члена ЕС, в котором оказывается услуга.
  2. Для целей параграфа 1 компетентные органы должны обладать полномочиями и ресурсами, необходимыми для требования от провайдеров цифровых услуг:

(a) предоставления информации, необходимой для проведения оценки безопасности их сетевых и информационных систем, в том числе документально оформленных правил безопасности;

(b) устранения любых несоответствий требованиям, установленным в Статье 16.

  1. Если основное отделение или представительство провайдера цифровых услуг находится в государстве-члене ЕС, а его сетевые или информационные системы располагаются в одном или нескольких других государствах-членах ЕС, компетентные органы государства-члена ЕС, в котором находятся основное отделение или представительство, и компетентные органы других указанных государств-членов ЕС должны сотрудничать и оказывать друг другу содействие при необходимости. Указанное содействие и сотрудничество может заключаться в обмене информацией между заинтересованными компетентными органами, а также в выдвижении требований о принятии мер по надзору, указанных в параграфе 2.

 

Статья 18

Юрисдикция и территориальность

 

  1. Для целей настоящей Директивы предполагается, что провайдер цифровых услуг находится в юрисдикции государства-члена ЕС, в котором располагается его основное отделение. Основное отделение провайдера цифровых услуг находится в государстве-члене ЕС, в котором располагается его головной офис.
  2. Провайдер цифровых услуг, оказывающий услуги, указанные в Приложении III, на территории Союза, но учрежденный за пределами Союза, должен назначить представителя на территории Союза. Представитель должен быть учрежден на территории одного из государств-членов ЕС, где оказываются услуги. Предполагается, что провайдер цифровых услуг находится в юрисдикции государства-члена ЕС, в котором учрежден его представитель.
  3. Назначение представителя провайдером цифровых услуг не оказывает влияния на судебные процессы, которые могут быть инициированы в отношении самого провайдера цифровых услуг.

 

Глава VI. СТАНДАРТИЗАЦИЯ И ДОБРОВОЛЬНОЕ УВЕДОМЛЕНИЕ

 

Статья 19

Стандартизация

 

  1. Для содействия единообразной имплементации Статьи 14(1) и (2) и Статьи 16(1) и (2) государства-члены ЕС, не навязывая использование определенных типов технологий или не ставя использование указанных технологий в преимущественное положение, должны поощрять использование признанных в Европе или на международном уровне стандартов и спецификаций, относящихся к безопасности сетевых и информационных систем.
  2. При содействии государств-членов ЕС ENISA должно составить рекомендации и указания в области технических отраслей, которые должны быть приняты во внимание в свете параграфа 1, а также в области уже действующих стандартов, в том числе национальных стандартов государств-членов ЕС, которые позволят охватить указанные отрасли.

 

Статья 20

Добровольное уведомление

 

  1. Без ущерба действию положений Статьи 3 предприятия, которые не были идентифицированы как операторы основных услуг и которые не являются провайдерами цифровых услуг, могут добровольно уведомлять об инцидентах, оказывающих существенное воздействие на непрерывность оказываемых ими услуг.
  2. При обработке уведомлений государства-члены ЕС должны действовать в соответствии с процедурными нормами, установленными в Статье 14. Государства-члены ЕС могут установить приоритет обработки обязательных уведомлений перед обработкой добровольных уведомлений. Добровольные уведомления рассматриваются только в тех случаях, когда такое рассмотрение не возлагает на заинтересованные государства-члены ЕС чрезмерное и неоправданное бремя.

Добровольное уведомление не возлагает на уведомляющее предприятие дополнительных обязанностей, которые оно не должно было выполнять, если бы не подало уведомление.

 

Глава VII. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

 

Статья 21

Санкции

 

Государства-члены ЕС принимают нормы о санкциях, применимых за нарушения национальных положений, принятых в соответствии с настоящей Директивой, а также принимают все необходимые меры для обеспечения их исполнения. Предусмотренные санкции должны быть эффективными, соразмерными и оказывающими сдерживающее воздействие. Государства-члены ЕС сообщают указанные нормы и меры Европейской Комиссии до 9 мая 2018 г., а также незамедлительно сообщают обо всех последующих изменениях, оказывающих на них влияние.

 

Статья 22

Процедура Комитета

 

  1. Комитет по обеспечению сетевой и информационной безопасности оказывает содействие Европейской Комиссии. Указанный комитет рассматривается в значении комитета согласно Регламенту (ЕС) 182/2011.
  2. Если имеются ссылки на настоящий параграф, применяется Статья 5 Регламента (ЕС) 182/2011.

 

Статья 23

Пересмотр

 

  1. До 9 мая 2019 г. Европейская Комиссия передает в Европейский Парламент и Совет ЕС отчет, содержащий оценку единообразия подходов государств-членов ЕС к идентификации операторов основных услуг.
  2. Периодически Европейская Комиссия проводит пересмотр действия настоящей Директивы и сообщает об этом Европейскому Парламенту и Совету ЕС. В указанных целях, а также для дальнейшего содействия стратегическому и оперативному сотрудничеству Европейская Комиссия рассматривает отчеты группы по сотрудничеству и CSIRTs о стратегическом и оперативном опыте. Также при пересмотре настоящей Директивы Европейская Комиссия должна оценивать списки, содержащиеся в Приложениях II и III, а также согласованность подходов при идентификации операторов основных услуг и услуг в отраслях, указанных в Приложении II. Первый отчет должен быть передан до 9 мая 2021 г.

 

Статья 24

Переходные положения

 

  1. Без ущерба действию положений Статьи 25 в целях предоставления государствам-членам ЕС дополнительных возможностей для осуществления надлежащего сотрудничества в переходный период Группа по сотрудничеству и сеть CSIRTs приступят к выполнению своих задач, указанных в Статьях 11(3) и 12(3) соответственно, с 9 февраля 2017 г.
  2. С 9 февраля 2017 г. по 9 ноября 2018 г. в целях оказания содействия государствам-членам ЕС в принятии согласованного подхода к процессу идентификации операторов основных услуг Группа по сотрудничеству должна рассмотреть процесс, характер и тип национальных мер, направленных на идентификацию операторов основных услуг в определенной отрасли в соответствии с критериями, установленными в Статьях 5 и 6. По запросу государства-члена ЕС Группа по сотрудничеству также должна рассмотреть отдельный проект национальных мер указанного государства-члена ЕС, направленных на идентификацию операторов основных услуг в определенной отрасли в соответствии с критериями, установленными в Статьях 5 и 6.
  3. Для целей настоящей Статьи до 9 февраля 2017 г. государства-члены ЕС должны обеспечить участие представителей в Группе по сотрудничеству и сети CSIRTs.

 

Статья 25

Преобразование в национальное право

 

  1. До 9 мая 2018 г. государства-члены ЕС должны принять и опубликовать законодательные, регламентарные и административные положения, необходимые для выполнения требований настоящей Директивы. Они незамедлительно информируют о них Европейскую Комиссию.

Указанные положения применяются с 10 мая 2018 г.

При принятии указанных актов они должны содержать ссылки на настоящую Директиву или должны сопровождаться такими ссылками при их официальном опубликовании. Государства-члены ЕС самостоятельно определяют, каким образом делаются данные ссылки.

  1. Государства-члены ЕС должны довести до сведения Европейской Комиссии текст основных положений национального законодательства, которое они принимают в области, подпадающей под действие настоящей Директивы.

 

Статья 26

Вступление в силу

 

Настоящая Директива вступает в силу на двадцатый день после ее официального опубликования в Официальном Журнале Европейского Союза.

 

Статья 27

Адресаты

 

Настоящая Директива адресована государствам-членам ЕС.

Совершено в Страсбурге 6 июля 2016 г.

(Подписи)

1   2   3   4   5

No votes yet.
Please wait...

Просмотров: 48

Добавить комментарий

Ваш e-mail не будет опубликован.

*

code