Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
Купить систему ГАРАНТ
Получить демо-доступ
Узнать стоимость
Информационный банк
Подобрать комплект
Семинары
- Главная
- Директива Европейского Парламента и Совета Европейского Союза 2022/2555 от 14 декабря 2022 г. о мерах по обеспечению высокого общего уровня кибербезопасности на территории Союза, о внесении изменений в Регламент (ЕС) 910/2014 и Директиву (ЕС) 2018/1972, а также об отмене Директивы (ЕС) 2016/1148 (Директива NIS 2)
- Глава IV. Меры по управлению рисками кибербезопасности и обязательства по представлению отчетности
- Статья 21. Меры по управлению рисками кибербезопасности
Статья 21. Меры по управлению рисками кибербезопасности
Статья 21
Меры по управлению рисками кибербезопасности
1. Государства-члены ЕС должны гарантировать, что основные и значимые организации принимают соответствующие и пропорциональные технические, оперативные и организационные меры по управлению рисками, создаваемыми для безопасности сетевых и информационных систем, которые указанные организации используют для своей деятельности или предоставления своих услуг, а также для предотвращения или минимизации воздействия инцидентов на получателей их услуг и на другие услуги.
Принимая во внимание современные и, в предусмотренном случае, соответствующие европейские и международные стандарты, а также затраты на внедрение, указанные в первом подпараграфе меры должны обеспечивать уровень безопасности сетевых и информационных систем сообразно создаваемым рискам. При оценке пропорциональности указанных мер следует должным образом учитывать степень подверженности организации рискам, размер организации, вероятность возникновения инцидентов и их серьезность, включая их социальные и экономические последствия.
2. Меры, указанные в параграфе 1, должны основываться на подходе, учитывающем все опасности, целью которого является защита сетевых и информационных систем и физической среды указанных систем от инцидентов, и должны включать как минимум следующее:
(a) политические принципы в области анализа рисков и безопасности информационных систем;
(b) управление инцидентами;
(c) непрерывность бизнес-процессов, например, управление резервным копированием и аварийное восстановление, а также управление в кризисных ситуациях;
(d) безопасность цепочки поставок, включая связанные с безопасностью аспекты взаимоотношений между каждой организацией и ее прямыми поставщиками или поставщиками услуг;
(e) безопасность при приобретении, разработке и обслуживании сетевых и информационных систем, включая управление уязвимостями и раскрытие информации об уязвимостях;
(f) принципы и процедуры для оценки эффективности мер по управлению рисками в области кибербезопасности;
(g) основные практики кибергигиены и обучение в области кибербезопасности;
(h) принципы и процедуры в отношении использования криптографии и, по мере необходимости, шифрования;
(i) безопасность кадровых ресурсов, принципы контроля доступа и управление активами;
(j) использование многофакторной аутентификации или решений непрерывной аутентификации, защищенной голосовой, видео и текстовой связи и защищенных систем аварийной связи внутри организации, в соответствующих случаях.
3. Государства-члены ЕС должны гарантировать, что при рассмотрении вопроса о том, какие меры, указанные в пункте (d) параграфа 2 настоящей Статьи, являются надлежащими, организации учитывают уязвимости, характерные для каждого прямого поставщика и поставщика услуг, а также общее качество продуктов и практику кибербезопасности их поставщиков и поставщиков услуг, включая безопасность их процессов разработки. Государства-члены ЕС также должны гарантировать, что при рассмотрении вопроса о том, какие меры, указанные в данном пункте, являются надлежащими, организации учитывают результаты согласованных оценок рисков безопасности критически важных цепочек поставок, осуществляемых в соответствии со Статьей 22(1).
4. Государства-члены ЕС должны гарантировать, что организация, обнаружившая, что она не соблюдает меры, предусмотренные в параграфе 2, незамедлительно принимает все необходимые, надлежащие и пропорциональные корректирующие меры.
5. К семнадцатому октября 2024 г. Европейская Комиссия должна принять имплементационные акты, устанавливающие технические и методологические требования мер, указанных в параграфе 2, в отношении поставщиков услуг DNS, реестров имен TLD, провайдеров услуг облачных вычислений, поставщиков услуг центра обработки данных, поставщиков сети доставки контента, поставщиков услуг управления сетью, поставщиков услуг по управлению информационной безопасностью, поставщиков электронных торговых площадок, онлайновых поисковых систем и платформ социальных сетевых сервисов, а также поставщиков удостоверительного сервиса.
Европейская Комиссия может принять имплементационные акты, устанавливающие технические и методологические требования, а также отраслевые требования, по мере необходимости, мер, указанных в параграфе 2, в отношении основных и значимых организацией, кроме указанных в первом подпараграфе настоящего параграфа.
При подготовке имплементационных актов, указанных в первом и втором подпараграфах настоящего параграфа, Европейская Комиссия, насколько это возможно, должна руководствоваться европейскими и международными стандартами, а также соответствующими техническими спецификациями. Европейская Комиссия должна обмениваться консультационными услугами и сотрудничать с Группой по сотрудничеству и ENISA по проектам имплементационных актов в соответствии с пунктом (e) Статьи 14(4).
Указанные имплементационные акты должны быть приняты в соответствии с процедурой проверки, указанной в Статье 39(2).