По-високи глоби за фирми и управляващи, по-точни и ясни дефиниции и по-широк обхват на засегнатите дружества. Това, в едно изречение, представляват промените в Закона за киберсигурност, чиято основна функция е транспонирането на изискванията на Директива за мрежова и информационна сигурност (NIS 2) в законодателната ни рамка.
Освен това, тези изменения бележат повратна точка в подхода на страната към дигиталната защита и отразяват нарастващото значение на киберсигурността в съвременния свят и поставят България в съответствие с най-новите европейски стандарти. Въпреки че имплементацията на тези изменения ще представлява значително предизвикателство за много организации, дългосрочните ползи за националната сигурност, икономическата стабилност и доверието на гражданите са неоспорими.
Ето и по-детайлен анализ на предстоящите за обсъждане текстове.
1. Разширен обхват и нови концепции
Едно от най-значимите изменения е разширяването на обхвата на закона. Въвежда се ясно разграничение между “съществени” и “важни” субекти, което позволява по-нюансиран подход към регулацията. Най-общо, като съществени се класират:
- средни предприятия (предприятия, които имат по-малко от 250 души персонал и които с годишен оборот до 50 млн. EUR)
- доставчици на квалифицирани удостоверителни услуги и регистри на имена на домейни от първо ниво
- административни органи и др.
Част от новите концепции в закона са въвеждането на дефиниция за:
- “Значителен инцидент”: инцидент, причиняващ сериозно оперативно смущение или значителни финансови загуби
- “Киберзаплаха”: потенциална причина за инцидент, който може да навреди на мрежи и информационни системи
- Ситуация близка до инцидент”: събитие, което е могло да засегне отрицателно сигурността на системите, но е било предотвратено
2. По-големи задължени и по-сериозни санкции
Законът въвежда по-строги и детайлни изисквания за управление на риска в областта на киберсигурността. Като задължителни са посочени редица мерки за управление на риска, сред които:
- Политики за анализ на риска и сигурност на информационните системи
- Действия при инцидент
- Непрекъснатост на стопанската дейност и управление на кризи
- Сигурност на веригата за доставка
- Основни киберхигиенни практики и обучение
- Използване на многофакторни решения за удостоверяване на автентичността
Срокът за уведомяване при значителен инцидент е определен на 24 часа, а за инцидент – на 72 часа. Въведено е изискване и за окончателен доклад до един месец след инцидента, включващ подробно описание, вид на заплахата, приложени мерки и трансгранично въздействие
Санкциите, от друга страна, са увеличени значително:
- За съществени субекти: от 200 хил. лв. до 2% от общия световен годишен оборот, но не по-малко от 20 млн. лв.
- За важни субекти: от 100 хил. лв. до 1.4% от общия световен годишен оборот, но не по-малко от 14 млн. лв.
- За управители или членове на управителни органи: от 1000 лв. до 100 хил. лв.
- Периодични санкции: 5 хил. лв. на ден за продължаващо неизпълнение (чл. 30а)
3. Засилен контрол и надзор
Новите разпоредби значително разширяват правомощията на контролните органи (чл. 27ж):
За съществени субекти:
- Планови и извънпланови проверки, на място или дистанционни
- Редовни и целеви одити на сигурността
- Извънпланови одити при значителен инцидент
- Проверки за сигурност, основани на оценка на риска
- Достъп до данни, документи и информация
За важни субекти:
- Проверки на място и последващ дистанционен надзор
- Целеви одити на сигурността
- Проверки за сигурност, основани на оценка на риска
- Достъп до информация и документация
4. Разширени отговорности на компетентните органи
Законът преразпределя и разширява отговорностите на ключови институции:
Министър на електронното управление (чл. 6, чл. 12):
- Създава и поддържа регистър на субектите
- Координира национална стратегия за киберсигурност
- Провежда политики за киберсигурност по веригата за доставки, криптиране, управление на уязвимости и др.
Национални компетентни органи (чл. 16):
- Извършват проверки и налагат санкции
- Координират обмена на информация
- Изготвят ежегодна оценка на риска за прилежащия им сектор
СЕРИКС (Секторни екипи за реагиране при инциденти с компютърната сигурност) (чл. 18):
– Предоставят оперативна подкрепа при инциденти
– Извършват наблюдение и анализ на киберзаплахи
– Осигуряват ранно предупреждение и динамичен анализ на рисковете
Сред другите акценти въвеждането на детайлен секторен подход за определени вертикали като енергетика, транспорт, банки здравеопазване, управление на услуги в областта на ИКТ, пощенски и куриерски услуги и др.
Предстои да видим как тези амбициозни промени ще се реализират на практика и как ще оформят дигиталното бъдеще на България. Едно е сигурно — страната прави решителна крачка към изграждането на по-сигурно и устойчиво цифрово общество, готово да посрещне предизвикателствата на 21-ви век.