България приема промени в Закона за киберсигурност в съответствие с NIS 2

Народното събрание прие на второ четене изменения в Закона за киберсигурност, с които се въвеждат разширени европейски изисквания за оценка на риска и докладване на инциденти. С промените България транспонира разпоредбите на NIS 2 Directive, насочена към постигане на високо ниво на сигурност на мрежите и информационните системи в Европейския съюз.

Разширен обхват на закона

Новото законодателство значително разширява обхвата на засегнатите организации. Освен досегашните субекти, вече се включват:

• публични и частни организации
• доставчици на квалифицирани удостоверителни услуги
• регистри на домейн имена
• образователни институции, извършващи критични научни изследвания
• органите на съдебната власт
  
  

Секторите, обхванати от закона, се увеличават от 8 на 18, като сред новите попадат:

• космически сектор
• управление на отпадъчни води
• ICT услуги между предприятия
• пощенски и куриерски услуги
• управление на отпадъци
• производство и разпространение на химикали и храни
• производствени индустрии (вкл. медицински изделия, електроника, машини и автомобили)
• доставчици на цифрови услуги
• научни изследвания
  
  

Нови изисквания за докладване на инциденти

Законът въвежда по-строги правила за уведомяване при киберинциденти. Организациите, определени като съществени и важни, трябва:

• да уведомят съответния секторен CSIRT екип до 24 часа след установяване на инцидент
• в рамките на 72 часа да предоставят актуализирана информация и първоначална оценка (включително тежест, въздействие и технически детайли)
• да подадат окончателен доклад до един месец след актуализацията
  
  

За доставчиците на удостоверителни услуги срокът за актуализиране на информацията е 24 часа.

Контрол върху използваните технологии

С приетите изменения се въвеждат и механизми за контрол върху използваните технологии. По предложение на Съвета по киберсигурност, Министерският съвет може да изисква организациите да използват:

• конкретни ICT продукти и услуги
• технологии, сертифицирани по европейски схеми за киберсигурност
• решения, доказано ефективни от оперативна и икономическа гледна точка
  
  

Освен това, при оценка на рисковете на ниво ЕС, може да се предложи ограничаване на определени технологии или вериги за доставки, особено когато произхождат от държави извън ЕС.

Ако дадена технология бъде ограничена с правителствено решение, организациите трябва да прекратят използването ѝ в срок до три години, освен в случаи на висок риск за националната сигурност, когато срокът може да бъде по-кратък.

Значение на промените

Според служебния министър на електронното управление, с приемането на измененията България прави важна стъпка към укрепване на националната киберсигурност.

Новите правила целят да подобрят управлението на риска, реакцията при инциденти и контрола върху критичните технологии, като същевременно хармонизират националното законодателство с европейските стандарти.