ENISA публикува полезен доклад за общите изисквания на NISD и GDPR

Агенцията на Европейския съюз за киберсигурност изследва единната рамка за управление на риска, създадена от Директива (ЕС) 2016/1148 относно мерки за високо общо ниво на сигурност на мрежите и информационните системи в Съюза (NISD) и Общият регламент за защита на данните (GDPR).

Агенцията на Европейския съюз за киберсигурност ENISA публикува Доклад, предназначен  за  операторите на основни услуги, както и доставчиците на цифрови услуги, с препоръки в процеса на идентифициране на подходящи мерки за сигурност въз основа на разпоредбите на двата законодателни акта.

За да подпомогне организациите в процеса на идентифициране на подходящи мерки за сигурност въз основа на разпоредбите както на NISD, така и на GDPR, този доклад използва като основа съществуващите насоки на ENISA и представя картиране на вече идентифицирани цели за сигурност между NISD и GDPR. Докладът заключава, че организациите могат да се възползват от единна рамка за управление на риска, специализирани секторни указания и специализирани насоки за възникващите техники за поверителност и сигурност.

Осигурява се хармонизиран подход при използване на наличните насоки на ENISA, като препоръките може да се използват от всяка организация, която планира да приложи подходящи мерки за сигурност на мрежови и информационни системи, както и за защита на личните данни.

Въпреки че и NISD, и GDPR следват подход, основан на риска, трябва да се вземат предвид разликите, произтичащи от обхвата на всеки правен инструмент, понятието за риск в неговите рамки (например риск за организацията и риск за индивида), целта на прилагането на мерки за сигурност, оценка на въздействието върху защитата на данните (DPIA) като докладът установява, че на практика няма конфликт между тези актове.

Накрая докладът завършва набор от препоръки към компетентните органи – при управление на риска, при специфичен за сектора подход, казва се че изследователската общност и ENISA трябва да продължат да предоставят специализирани насоки относно възникващи техники за защита на данните.