На 4 юли 2024 г. министърът на електронното управление внесе законопроект за изменение и допълнение на Закона за киберсигурност, с който се транспонира Директива МИС 2 (ЕС) 2022/2555. Всички заинтересовани страни могат да публикуват коментарите си по законопроекта в процеса на обществени консултации до 3 август 2024 г. Измененията в Закона за киберсигурност очертават само общите задължения за предприятията за управление на риска и докладване и се очаква да бъдат приети до 17 октомври 2024 г. По-конкретни мерки за киберсигурност и задължения ще бъдат предписани в наредбата за прилагане на закона, която трябва да бъде приета в срок от 8 месеца от влизането в сила на изменения Закон за киберсигурност, т.е. до юни 2025 г.
По-долу е представен кратък преглед на основните изменения, предложени в законопроекта, които ще засегнат предприятията:
I. По-широк обхват на субектите, които са обвързани със задължения за управление на риска и докладване съгласно Закона за киберсигурност
Със законопроекта се въвеждат определения за съществени и важни субекти, с които се разширява обхватът на предприятията, подлежащи на спазване на изискванията за киберсигурност.
Съществени субекти:
- Субекти, които надвишават праговете за средни предприятия (т.е. най-малко 250 служители и годишен оборот най-малко 97 500 000 лева /или стойност на активите най-малко 84 000 000 лева на консолидирана база), които оперират в областта на енергетиката, транспорта, банковото дело, инфраструктурата на финансовите пазари, здравеопазването, питейната вода, отпадъчните води, цифровата инфраструктура, услугите за управление на ИКТ и космонавтика.
- Доставчици на квалифицирани услуги за удостоверяване, регистри на имена на домейни и услуги за DNS, независимо от размера на предприятието.
- Доставчици на обществени електронни съобщителни мрежи или на обществено достъпни електронни съобщителни услуги, които се отговарят на критериите за средни предприятия.
- Всички субекти, които:
- осъществяват някоя от определените в закона категории дейности в сферата на енергетиката, транспорта, банковото дело, инфраструктурата на финансовите пазари, здравеопазването, питейната вода, отпадъчните води, цифровата инфраструктура, услугите за управление на ИКТ и космонавтика или в пощенските и куриерските услуги, управлението на отпадъците, производството и дистрибуцията на химикали, производството и дистрибуцията на храни, производството на медицински изделия, компютри и електронни оптични продукти, електрическо оборудване, машини, моторни превозни средства или друго транспортно оборудване, доставчиците на цифрови услуги (онлайн пазари, инструменти за онлайн търсене, платформи за социални медии), научните изследвания; И
- са определени като съществени субекти въз основа на следните критерии:
- действат като единствен доставчик на услуга, която е от съществено значение за поддържането на критични социални и икономически дейности;
- прекъсване (за определен период от време) на услугата, предоставяна от субекта, би могло да има значително въздействие върху обществената сигурност или общественото здраве;
- намеса в услугите, предоставяни от субекта, би могла да доведе до значителен системен риск, по-специално за сектори, в които подобно смущение може да има трансгранично въздействие;
- субектът е от критично значение поради специфичното му значение на национално или регионално равнище за конкретния сектор или вид услуга или за други взаимозависими сектори в България.
5. Субекти, квалифицирани като критични въз основа на оценката, която ще бъде направена от административните органи в рамките на 8 месеца след въвеждането на измененията в Закона за киберсигурност;
6. Субекти, определени като оператори на съществени услуги съгласно съществуващите правила преди изменението на Закона за киберсигурност.
Важни субекти:
Всички субекти, които не отговарят на изискванията за съществени субекти и осъществяват някоя от определените в закона категории дейности в сферата на Енергетика, Транспорт, Банково дело, Инфраструктура на финансовите пазари, Здравеопазване, Питейна вода, Отпадъчни води, Цифрова инфраструктура, Услуги по управление на информационни и комуникационни технологии и космонавтиката или в областта на Пощенски и куриерски услуги, Управление на отпадъци, Производство и разпространение на химикали, Производство и разпространение на храни, Производство на медицински изделия, компютри и електронни оптични продукти, електрическо оборудване, машини, моторни превозни средства или друго транспортно оборудване, Доставчици на цифрови услуги (онлайн пазари, инструменти за онлайн търсене, платформи за социални медии), Научни изследвания.
II. Мерки за управление на риска в областта на киберсигурността и задължения за докладване за съществени и важни субекти
Според законопроекта от съществените и важните субекти ще се изисква да осигурят следното:
- на всеки две години ръководството на субекта да преминава обучение за риска за киберсигурността, а ръководството следва да предоставя такова обучение на служителите;
- да прилагат подходящи мерки за намаляване на рисковете за техните мрежи и информационни системи, като се фокусират върху технологичната неутралност и спазването на установените стандарти. Тези мерки трябва да са пропорционални на рисковия профил на предприятието, като се вземат предвид фактори като размера на предприятието, вероятността от инциденти и потенциалните обществени и икономически въздействия. Законопроектът очертава само общия обхват на тези мерки, както е определено и в Директивата МИС 2., като:
- политики за анализ на риска и сигурност на информационните системи;
- справяне с инциденти;
- непрекъсваемост на дейността, като управление на резервни копия и възстановяване след бедствие, управление на кризи.;
- сигурност на веригата за доставки, включително свързаните със сигурността аспекти, отнасящи се до взаимоотношенията между всеки субект и неговите преки доставчици или доставчици на услуги;
- сигурност при придобиването, разработването и поддръжката на мрежи и информационни системи, включително обработка и разкриване на уязвимости;
- политики и процедури за оценка на ефективността на мерките за управление на риска в областта на киберсигурността;
- основни практики за киберхигиена и обучение по киберсигурност;
- политики и процедури по отношение на използването на криптография и, когато е уместно, на криптиране;
- сигурност на човешките ресурси, политики за контрол на достъпа и управление на активите;
- използването на многофакторно удостоверяване или решения за непрекъснато удостоверяване, защитени гласови, видео и текстови комуникации и защитени системи за спешна комуникация в рамките на структурата, когато е уместно.
iii. да уведомява секторните екипи за реагиране при инциденти с компютърната сигурност (СЕРИКС) за всеки значителен инцидент в рамките на 24/72 часа. Потребителите също трябва да бъдат уведомени, ако има риск за тях.
Министерският съвет може да определи определени ИКТ услуги, системи или вериги на доставки, за които ще се счита, че осигуряват съответствие с изискванията на Закона за киберсигурност.
По-подробно описание на съответните задължения се очаква в последващо изменение на Наредбата за минималните изисквания за мрежова и информационна сигурност, което ще бъде предложено допълнително от Министерския съвет.
III. Значително увеличение на административните глоби
Със законопроекта се увеличават значително имуществените санкции за нарушения от страна на съществени и важни субекти на изискванията за осигуряване на необходимите мерки за киберсигурност и докладване.
Диапазонът на имуществените санкции за важните субекти е от 100 000 лева до 1,4% от общия световен годишен оборот за предходната финансова година на предприятието, към което принадлежи субектът. Директива МИС 2 предвижда максимален размер на пропорционалната санкция от поне 7 млн. евро, който в законопроекта е определен като минимален размер на пропорционалната санкция от 14 млн. лева (приблизително 7 млн. евро).
Диапазонът на имуществените санкции за съществени субекти е от 200 000 лева до 2% от общия световен годишен оборот за предходната финансова година на предприятието, към което принадлежи субектът. Директивата МИС 2 предвижда максимален размер на имуществените санкции от поне 10 млн. евро, който в законопроекта е определен като минимален размер на пропорционалната санкция от 20 млн. лева (приблизително 10 млн. евро).
Определянето на максималния праг на пропорционалните имуществени санкции следва да бъде прецизирано в процеса на обществено обсъждане и обсъждане на закона преди приемането му от Народното събрание.
IV. Задълженията на дружествата, които са част от големи икономически групи, трябва да бъдат допълнително уточнени
Задълженията, произтичащи от Закона за киберсигурност, ще се прилагат за субекти, установени в България, или субектите:
- предоставящо услуги в България като доставчици на обществени електронни съобщителни мрежи или като доставчици на обществено достъпни електронни съобщителни услуги; или
- чието „основно място на установяване“ е в България И оперират като доставчици на доставчиците на DNS услуги, регистрите на имена на домейни от първо ниво, субектите, предоставящи услуги за регистриране на имена на домейни, доставчиците на компютърни услуги в облак, доставчиците на услуги на центрове за данни, доставчиците на мрежи за предоставяне на съдържание, доставчиците на управлявани услуги, доставчиците на управлявани услуги за сигурност, както и доставчиците на онлайн места за търговия, на онлайн търсачки или на платформи на услуги за социални мрежи.
Чл. 26, параграф 2 от Директивата за МИС 2 уточнява как следва да се определи „основното място на установяване“ по т. ii. и насочва към юрисдикцията, в която предимно се вземат решения, свързани с мерките за управление на риска в областта на киберсигурността на субекта. Този параграф обаче липсва в законопроекта, което може да бъде преодоляно в законодателния процес до приемането му от Народното събрание.
За повече информация можете да се обърнете към:
Ива Георгиева, Управляващ адвокат
iva.georgieva@kdp-law.com
Иван Драганов, Адвокатски сътрудник
ivan.draganov@kdp-law.com