П арламентът прие на второ четене промени в Закона за киберсигурност, с които се въвеждат подобрените европейски изисквания във връзка с оценката на риска и докладването на инциденти. Измененията включват и текстове, свързани с ограничаването на използването на рискови технологии.
С промените в националното законодателство се въвеждат разпоредби на европейската Директива относно мерките за високо общо ниво на киберсигурност, която включва защита на мрежовите и информационните системи (МИС) или т.нар. Директива МИС 2.
Към субектите, към които са насочени изискванията на закона, освен административните органи, се включват публични и частни субекти, доставчици на квалифицирани удостоверителни услуги и регистри на имена на домейни, образователни институции, когато извършват научноизследователски дейности от критично значение, и органите на съдебната власт. Според определени критерии в закона те се делят на съществени и важни субекти.
ЕК с наказателната процедура срещу България и още 22 страни от ЕС
Със законопроекта се разширяват секторите на въздействие, които от осем стават 18. Включват се сектори като космическо пространство, отпадъчни води, управление на услуги в областта на информационните и комуникационните технохологии (ИКТ) между предприятия, както и критични сектори като пощенски и куриерски услуги, управление на отпадъците, производство и дистрибуция на химикали и храни, производство (на медицински изделия, компютри, електронни и оптични продукти, машини и оборудване, моторни превозни средства, ремаркета и полуремаркета), доставчици на цифрови услуги и научни изследвания.
Съществените и важните субекти уведомяват СЕРИКС (секторен екип за реагиране при инциденти с компютърната сигурност) за всеки значителен инцидент до 24 часа след установяването му, предвиждат измененията. До 72 часа се актуализира информацията и се посочва първоначална оценка, включително за неговата тежест и въздействие, както и техническа информация за инцидента. За доставчиците на удостоверителни услуги срокът за актуализация на информацията е 24 часа. Окончателен доклад се подава не по-късно от един месец след актуализираното уведомление.
КСНС даде 10 препоръки на МС и НС за киберсигурността
Предвижда се Министерският съвет (МС) с постановление, прието по предложение на Съвета по киберсигурността, да може да създаде изисквания към съществените и важни субекти да използват конкретни, доказано подходящи в оперативно и икономическо отношение ИКТ продукти, ИКТ услуги и ИКТ процедури, които са разработени от тях или са придобити от трети страни, сертифицирани в рамките на европейските схеми за киберсигурност, решиха депутатите.
Въз основа на предоставена информация за резултатите от координирана на равнището на Европейския съюз оценка на риска за сигурността на критични вериги за доставка, Съветът по киберсигурността изготвя мотивирано предложение до Министерския съвет за приемане на постановление за ограничаване на използването от субектите в обхвата на закона на конкретни технологии или на критични вериги за доставка на ИКТ услуги или/и ИКТ продукти с произход от страни извън ЕС.
В случай че субектите в обхвата на закона вече използват технология, която е ограничена с постановлението на МС, те следва да преустановят използването ѝ в тригодишен срок от приемането на постановлението. В случаи на висок риск за националната сигурност, в постановлението се определя по-кратък срок, приеха депутати. Редакцията на тези текстове беше предложена от Румен Христов от ГЕРБ – СДС и одобрена от пленарната зала.
Ангел Славчев ("Възраждане") също предложи редакция – постановлението на МС да има препоръчителен характер, но тя не беше приета.
Мая Димитрова ("БСП – Обединена левица") поиска срокът за използване на ограничена технология да е петгодишен от приемането на постановлението, но и това не беше подкрепено в пленарната зала.
По време на дебата Ангел Славчев коментира, че този законопроект е свръхрегулация за бизнеса и не е нужен. С него задължаваме не само държавните предприятия, но и частния бизнес и му налагаме каква технология трябва да използва. Тези ограничения ще бъдат по предложение на Съвета по киберсигурност, а МС ще издава постановление, обясни той. По думите му, американското посолство е "натиснало" управляващото мнозинство да се приеме час по-скоро този законопроект.
Колегата му Цончо Ганев коментира, че по "късна доба" се разглежда лобистки закон, който има една единствена цел – да бъдат изгонени от България всички китайски компании за телекомуникационно оборудване.
Красимира Катинчарова от "Величие" каза, че рамката на директивата е надградена твърде много и това превръща законопроекта в инструмент за административен натиск.
В пленарната зала беше и министърът на електронното управление в оставка Валентин Мундров.
