законодателство

Парламентът прие на първо четене промени в Закона за киберсигурност. Те въвеждат европейските изисквания за мрежова и информационна сигурност, заложени в NIS 2, и трябваше да бъдат факт до 17.10.2024 г.

Промените предвиждат задължителни процедури по докладване на киберинциденти и глоби за неспазване на правилата на директивата. Най-значителната санкция става от 50 000 лв. до 2% от общия глобален годишен оборот на организацията за предходната финансова година, но не по-малко от 20 000 000 лв. Тя е валидна за т.нар. „съществени субекти“.

„Важните субекти“, които нарушат задълженията си по NIS 2, са заплашени от имуществена санкция от 25 000 лева до 1,4% от глобалния им годишен оборот, но не по-мако от 14 000 000 лева.

В обхвата на NIS 2 попадат енергетиката, транспорта, банковия сектор, пощенските и куриерските услуги и други критични сектори.

Срокът за предложения между първо и второ четене на законопроекта беше удължен до максималния от 28 дни, или до 20.03.2025 г.

Очаквайте коментар по темата от нашите експерти!

 

Последен ъпдейт на 20 февруари 2025 в 05:50 ч.

От 17-януари финансовите организации на територията на ЕС трябва да отговарят на по-строги изисквания за киберсигурност. Те са част от официално влезлия в сила Digital Operational Resilience Act (DORA) и идват в отговор на задълбочаващите се заплахи в киберпространството.

„DORA е амбициозна регулаторна инициатива на ЕС, която въвежда всеобхватни изисквания за киберсигурност и дигитална устойчивост във финансовия сектор. Основните цели на регламента включват подобряване на управлението на IT рисковете, засилване на киберсигурността и създаване на единни стандарти за целия ЕС“, обяснява пред FreedomOnline Спас Иванов, консултант по киберсигурност.

Законодателството налага завишени изисквания в четири основни области:

• Управление на риска: Ръководителите трябва да разработят стабилни системи за управление на IT риска. Те включват цялостна рамка за киберсигурност, картографиране на инфраструктурата, идентифициране и класифициране на критичните активи и функции.
• Реакция при инциденти и докладване: Финансовите институции трябва да уведомяват компетентните органи до 24 часа след откриването на значим инцидент и да предоставят подробни доклади за развитието на ситуацията.
• Тестване на оперативната устойчивост: Организациите трябва да провеждат редовни тестове за устойчивост на своите ICT системи и да поддържат ефективни механизми за откриване на инциденти.
• Управление на риска от трети страни: DORA се прилага не само за финансовите субекти, но и за доставчиците на технологии за сектора. Те трябва да гарантират определено ниво на сигурност и надеждност и да осигурят пълна прозрачност в отношенията си с финансовите институции.

Неспазването на изискванията може да доведе до сериозни санкции – глоби до 10 милиона евро или 2% от годишния оборот. Временно преустановяване на дейности и отнемане на лицензи също са възможни.

Предизвикателства и ползи за българския финансов сектор

Тук, логично, стигаме до въпроса: Готов ли е финансовият сектор у нас за тези правила?

„Българските компании от финансовия сектор са изправени пред сериозни предизвикателства при прилагането на DORA. Основните трудности включват необходимостта от значителни инвестиции в IT инфраструктура и недостига на квалифицирани специалисти по киберсигурност“, коментира Спас Иванов.

По думите му общото впечатление, е че големите банки и застрахователи са сравнително добре подготвени, но по малките и средните компании в сектора все още изостават значително.

Въпреки тези предизвикателства обаче, спазването на регламента носи множество ползи:

• устойчивост на системите;
• по-добра защита на данните;
• повишено доверие от страна на клиентите;
• намален риск от финансови загуби заради киберинциденти.

Целта на законодателството е в дългосрочен план инвестициите в киберсигурност да не се разглеждат като разход, а като необходимост и конкурентно предимство.

„DORA бележи нова ера в регулацията на киберсигурността във финансовия сектор на ЕС. Въпреки предизвикателствата пред българските компании, регламентът е важна стъпка към изграждането на по-устойчива и сигурна финансова система. Успешното му прилагане ще изисква значителни усилия и ресурси, но ползите за бизнеса и потребителите ще надхвърлят първоначалните инвестиции“, категоричен е в заключение Спас Иванов.

Глобите по GDPR, наложени в Европа през 2024, възлизат на 1,2 млрд. EUR.

Нови данни на адвокатската кантора DLA Piper показват намаление на наказанията, наложени от европейските регулаторни органи, в сравнение с 2023. Тогава са били издадени санкции на стойност 2,9 млрд. EUR.

2024 е първата година, в която се наблюдава спад на глобите на годишна база, откакто GDPR влезе в сила през май 2018. Това обаче се дължи основно на рекордната санкция от 1,2 млрд. EUR срещу Meta от май 2023.

Общата стойност на глобите по Общия регламент за защита на личните данни от 2018 насам вече възлиза на 5,88 млрд. EUR.

Трите най-големи глоби през 2024 са:

• 310 млн. EUR срещу LinkedIn за обработката на лични данни в рекламните ѝ практики;
• 290 млн. EUR срещу Uber за съхраняване на данни на европейски шофьори в САЩ без адекватни предпазни мерки;
• 251 млн. EUR срещу Meta за нарушение на сигурността на данните през 2018, което е засегнало около 29 млн. профила във Facebook.

Преориентиране към лична отговорност

Друга тенденция, подчертана в изследването, е значителното изместване на фокуса на европейските регулатори към личната отговорност. В редица техни решения се посочват пропуски в организационното управление и надзора, които са довели до нарушения на защитата на личните данни.

Нидерландският регулатор, например, проучва дали може да подведе под лична отговорност директорите на Clearview AI за многобройни нарушения на GDPR. Срещу компанията беше заведено дело за 30,5 млн. EUR.

Очаква се тази тенденция да се задълбочи през настоящата година.

ЕК открива наказателна процедура срещу България и още 23 държави от ЕС, тъй като не са транспонирали две директиви за киберсигурност в националните си законодателства.

На страните са дадени два месеца да го направят. Ако те не се съобразят с искането, случаят ще бъде отнесен до Съда на ЕС.

Първата процедура за нарушение, насочена срещу 23 държави членки, е свързана с NIS2. Писма са изпратени до България, Чехия, Дания, Германия, Естония, Ирландия, Гърция, Испания, Франция, Кипър, Латвия, Люксембург, Унгария, Малта, Нидерландия, Австрия, Полша, Португалия, Румъния, Словения, Словакия, Финландия и Швеция. Държавите членки трябваше да я транспонират до 17 октомври 2024 г.

Комисията открива процедури за нарушение и срещу 24 държави членки, които не са интегрирали Директива относно устойчивостта на критичните структури (CER Directive). Страната ни попада и в този списък заедно със същите държави плюс Литва.

Крайният срок по втората директива също изтече на 17 октомври 2024 г.