Новият закон за киберсигурност: най-важното, което да знаете за транспонирате нa директивата NIS2 в българското законодателство

По-високи глоби за фирми и управляващи, по-точни и ясни дефиниции и по-широк обхват на засегнатите дружества. Това, в едно изречение, представляват промените в Закона за киберсигурност, чиято основна функция е транспонирането на изискванията на Директива за мрежова и информационна сигурност (NIS 2) в законодателната ни рамка.

Освен това, тези изменения бележат повратна точка в подхода на страната към дигиталната защита и отразяват нарастващото значение на киберсигурността в съвременния свят и поставят България в съответствие с най-новите европейски стандарти. Въпреки че имплементацията на тези изменения ще представлява значително предизвикателство за много организации, дългосрочните ползи за националната сигурност, икономическата стабилност и доверието на гражданите са неоспорими.

Ето и по-детайлен анализ на предстоящите за обсъждане текстове.

1. Разширен обхват и нови концепции

Едно от най-значимите изменения е разширяването на обхвата на закона. Въвежда се ясно разграничение между “съществени” и “важни” субекти, което позволява по-нюансиран подход към регулацията. Най-общо, като съществени се класират:

• средни предприятия (предприятия, които имат по-малко от 250 души персонал и които с годишен оборот до 50 млн. EUR)
• доставчици на квалифицирани удостоверителни услуги и регистри на имена на домейни от първо ниво
• административни органи и др.

Част от новите концепции в закона са въвеждането на дефиниция за:

• “Значителен инцидент”: инцидент, причиняващ сериозно оперативно смущение или значителни финансови загуби
• “Киберзаплаха”: потенциална причина за инцидент, който може да навреди на мрежи и информационни системи
• Ситуация близка до инцидент”: събитие, което е могло да засегне отрицателно сигурността на системите, но е било предотвратено

2. По-големи задължени и по-сериозни санкции

Законът въвежда по-строги и детайлни изисквания за управление на риска в областта на киберсигурността. Като задължителни са посочени редица мерки за управление на риска, сред които:

• Политики за анализ на риска и сигурност на информационните системи
• Действия при инцидент
• Непрекъснатост на стопанската дейност и управление на кризи
• Сигурност на веригата за доставка
• Основни киберхигиенни практики и обучение
• Използване на многофакторни решения за удостоверяване на автентичността

Срокът за уведомяване при значителен инцидент е определен на 24 часа, а за инцидент – на 72 часа. Въведено е изискване и за окончателен доклад до един месец след инцидента, включващ подробно описание, вид на заплахата, приложени мерки и трансгранично въздействие

Санкциите, от друга страна, са увеличени значително:

• За съществени субекти: от 200 хил. лв. до 2% от общия световен годишен оборот, но не по-малко от 20 млн. лв.
• За важни субекти: от 100 хил. лв.  до 1.4% от общия световен годишен оборот, но не по-малко от 14 млн. лв.
• За управители или членове на управителни органи: от 1000 лв. до 100 хил. лв.
• Периодични санкции: 5 хил. лв. на ден за продължаващо неизпълнение (чл. 30а)

3. Засилен контрол и надзор

Новите разпоредби значително разширяват правомощията на контролните органи (чл. 27ж):

За съществени субекти:

• Планови и извънпланови проверки, на място или дистанционни
• Редовни и целеви одити на сигурността
• Извънпланови одити при значителен инцидент
• Проверки за сигурност, основани на оценка на риска
• Достъп до данни, документи и информация

За важни субекти:

• Проверки на място и последващ дистанционен надзор
• Целеви одити на сигурността
• Проверки за сигурност, основани на оценка на риска
• Достъп до информация и документация

4. Разширени отговорности на компетентните органи

Законът преразпределя и разширява отговорностите на ключови институции:

Министър на електронното управление (чл. 6, чл. 12):

• Създава и поддържа регистър на субектите
• Координира национална стратегия за киберсигурност
• Провежда политики за киберсигурност по веригата за доставки, криптиране, управление на уязвимости и др.

Национални компетентни органи (чл. 16):

• Извършват проверки и налагат санкции
• Координират обмена на информация
• Изготвят ежегодна оценка на риска за прилежащия им сектор

СЕРИКС (Секторни екипи за реагиране при инциденти с компютърната сигурност) (чл. 18):
– Предоставят оперативна подкрепа при инциденти
– Извършват наблюдение и анализ на киберзаплахи
– Осигуряват ранно предупреждение и динамичен анализ на рисковете

Сред другите акценти въвеждането на детайлен секторен подход за определени вертикали като енергетика, транспорт, банки здравеопазване, управление на услуги в областта на ИКТ, пощенски и куриерски услуги и др.

Предстои да видим как тези амбициозни промени ще се реализират на практика и как ще оформят дигиталното бъдеще на България. Едно е сигурно — страната прави решителна крачка към изграждането на по-сигурно и устойчиво цифрово общество, готово да посрещне предизвикателствата на 21-ви век.