Докладчик Петя Димитрова
Благодаря, госпожо Председател.
„Доклад за второ гласуване относно Законопроект за изменение и допълнение на Закона за киберсигурност със сигнатура № 51-402-01-17, внесен от Министерския съвет на 12 декември 2024 г., приет на първо гласуване на 20 февруари 2025 г.
„Закон за изменение и допълнение на Закона за киберсигурност“.“
Комисията подкрепя текста на вносителя за наименованието на Закона.
Комисията подкрепя текста на вносителя за § 1.
Комисията подкрепя текста на вносителя за § 2.
По § 3 има предложение на народния представител Божидар Божинов:
„В § 3, т. 4 думите „по предложение на Комисията за регулиране на съобщенията и на министъра на електронното управление“ се заменят с думите „по предложение на министъра на електронното управление, съгласувано с Комисията за регулиране на съобщенията“.“
Предложението е оттег�лено.
Предложение на народните представители Костадин Костадинов, Ангел Славчев, Никола Димитров, Виолета Кърпачева:
„В § 3, чл. 3, т. 4, ал. 3 думите „по предложение на Комисията за регулиране на съобщенията и на министъра на електронното управление“ се заменят с думите „по предложение на министъра на електронното управление“.“
Предложението е оттеглено.
Комисията подкрепя текста на вносителя за § 3, като преди т. 1 думите „и допълнения“ се заличават.
По § 4 има предложение на народния представител Божидар Божанов:
„В § 4, в чл. 4, т. 6 след думите „от критично значение“ се добавят думите „в секторите по Приложение I“.“
Комисията подкрепя по принцип предложението.
Предложение на народния представител Петя Димитрова по реда на чл. 79, ал. 7, т. 2 от ПОДНС:
„В чл. 4 се създава т. 9:
„9. органите на съдебната власт.“
Комисията подкрепя предложението.
Комисията подкрепя по принцип текста на вносителя и предлага следната редакция н�а § 4:
„§ 4. Член 4 се изменя така:
„Обхват
Чл. 4. С този закон се определят изискванията към:
1. административните органи;
2. публични и частни субекти от видовете, посочени в приложение I или II, които отговарят на критериите за средни предприятия съгласно чл. 3, ал. 1 от Закона за малките и средните предприятия или надхвърлят определената в него горна граница за средни предприятия и които предоставят своите услуги или извършват дейности в рамките на Европейския съюз. При установяване размера на предприятието не се прилага чл. 4, ал. 9 от Закона за малките и средните предприятия;
3. субекти от видовете, посочени в приложение I или II, независимо от размера на предприятието, когато:
а) услугите се предоставят от доставчици на обществени електронни съобщителни мрежи или на обществено достъпни електронни съобщителни услуги;
б) услугите се предоставят от доставчици на удостоверителни услуги;
в) услугите се предоставят от регистри на имена на домейни от първо ниво и доставчици на с�истемни услуги за имена на домейни;
г) субектът е единствен доставчик на услуга, която е от съществено значение за поддържането на критични обществени и икономически дейности;
д) смущение (за определено време) в предоставяната от субекта услуга би могло да окаже значително въздействие върху обществената безопасност, обществената сигурност или общественото здраве;
е) смущение в предоставяната от субекта услуга би могло да предизвика значителен системен риск, по-специално за секторите, в които такова смущение би могло да има трансгранично въздействие;
ж) субектът е критичен поради своята специфична значимост на национално или регионално равнище за конкретния сектор или вид услуга или за други взаимозависими сектори в Република България;
4. субекти, установени като критични субекти съгласно Директива (ЕС) 2022/2557 на Европейския парламент и на Съвета от 14 декември 2022 година за устойчивостта на критичните субекти и за отмяна на Директива 2008/114/ЕО на Съвета“ (OB L 333/164 от 27 декември 2022 г.), наричана по нататък „Директива (ЕС) 2022/2557“;
5. субекти, предоставящи услуги за регистрация на имена на домейни;
6. образователни институции, когато извършват научноизследователски дейности от критично значение в секторите по Приложение I и Приложение II;
7. лицата, осъществяващи публични функции, които не са определени като съществени или важни субекти на друго основание, когато предоставят административни услуги по електронен път;
8. организациите, предоставящи обществени услуги, които не са съществени или важни субекти на друго основание, когато предоставят административни услуги по електронен път;
9. органите на съдебната власт.“
По § 5 има предложение на народния представител Божидар Божанов.
Предложението е оттеглено.
Комисията подкрепя текста на вносителя за § 5, като:
1. Текстът преди т. 1 се изменя така „За целите на закона съществени субекти са:“
2. В ал. 1, т. 1 думата „таваните“ се заменя с „горната граница“.
По § 6 има предложение на народния представител Божидар Божанов.
Комисията подкрепя по принцип предложението.
Предложение на народните представители Костадин Костадинов, Ангел Славчев, Никола Димитров, Виолета Кърпачева:
„В § 6, чл. 5, т. 2 предложението в т. 2 думите „Служба „Военно разузнаване“ се заменят с „Комисията за противодействие на корупцията“.“
Комисията не подкрепя предложението.
Предложение на народните представители Костадин Костадинов, Ангел Славчев, Никола Димитров, Виолета Кърпачева.
Предложението е оттеглено.
Предложение на народния представител Петя Димитрова по реда на чл. 79, ал. 7, т. 2 от ПОДНС.
Комисията подкрепя предложението.
Комисията подкрепя по принцип текста на вносителя и предлага следната редакция на § 6:
„§ 6. В чл. 5 се правят следните изменения и допълнения:
1. В т. 2 след думите „Министерството на отбраната“ се добавя „и структурите на пряко подчинение на министъра на отбраната и Българската армия“, а думите „Служба „Военно разузнаване“ се заменят с „Комисията за противодействие на корупцията“.
2. Точки 3, 4 и 5 се отменят.“
По § 7 има предложение на народния представител Божидар Божинов:
„В § 7 относно чл. 6 се създава ал. 6:
„(6) Министърът на електронното управление съобщава на субектите за извършеното вписване в регистъра по ал. 1 по реда на чл. 18а от Административнопроцесуалния кодекс. Шестмесечният срок по чл. 28ж, ал.4 и чл. 28и, ал. 3 започва да тече от деня на връчването на съобщението.“
Комисията не подкрепя предложението.
Комисията подкрепя текста на вносителя за § 7, като в ал. 2 думата „Съюза“ се заменя с „Европейския съюз“.
Комисията подкрепя текста на вносителя за § 8.
Комисията подкрепя текста на вносителя за § 9.
По § 10 има предложение на народните представители Костадин Костадинов, Ангел Славчев, Никола Димитров, Виолета Кърпачева:
„В § 10, чл. 8, ал. 2 текстът преди т. 1 се изменя така:
„(2) Като част от Националната стратегия за киберсигурност министърът на електронното управление, в координаци�я със Съвета по киберсигурността, провежда политиките:“
Комисията не подкрепя предложението.
Предложение на народните представители Костадин Костадинов, Ангел Славчев, Никола Димитров, Виолета Кърпачева.
Предложението е оттеглено.
Предложение на народните представители Костадин Костадинов, Ангел Славчев, Никола Димитров, Виолета Кърпачева:
„В § 10, чл. 8, ал. 2, т. 10 се изменя така:
„10. по насърчаване на активна киберзащита, включително чрез стимули за внедряване на системи за ранно предупреждение и автоматизирано откриване на заплахи.“
Комисията не подкрепя предложението.
Комисията подкрепя текста на вносителя за § 10.
Комисията подкрепя текста на вносителя за § 11.
Комисията подкрепя текста на вносителя за § 12, като в текста преди т. 1 се добавя „и допълнения“.
Комисията подкрепя текста на вносителя за § 13.
По § 14 има предложение на народния представител Божидар Божинов.
Предложението по буква „б“, т. 10, 12, 13, 14 и т. 15 е оттеглено.
Комисията подкрепя по принцип предложението по буква „б“, т. 11, а по буква „а“ и буква „б“, по отношение на т. 10, 12, 13, 14 и т. 15 е оттеглено.
Предложение на народния представител Божидар Божанов по реда на чл. 79, ал. 7, т. 2 от ПОДНС.
Комисията подкрепя предложението.
Комисията подкрепя по принцип текста на вносителя и предлага следната редакция на § 14:
„§ 14. В чл. 12 се правят следните изменения и допълнения:
1. Точка 2 се отменя.
2. Точка 6 се изменя така:
„6. осъществява проверки чрез оправомощени от него лица на информационната сигурност по смисъла на този закон и на предприетите от административния орган мерки според правомощията, описани в глава втора „в“ и в глава трета, и дава задължителни предписания за тяхното подобряване; в обхвата на проверките не попадат информационни системи на ведомствата по чл. 5.“
3. В т. 7 думата „оценка“ се заменя с „проверки“ и накрая се добавя „и 3“.
4. В т. 8 думите „мрежовата и информационната сигурно�ст“ се заменят с „киберсигурността“.
5. Създават се т. 9, 10 и 11:
„9. осъществява проверки на предоставените годишни одити от националните компетентни органи с цел анализ и съответствие с изискванията по този закон;
10. определя ограничения за използване на приложения и интернет страници на служебните устройства, използвани от служителите в държавната администрация, от които произтича висок риск за информационните системи и мрежи на държавната администрация;
11. издава задължителни разпореждания до националните компетентни органи относно спазването на изискванията на закона.“
Предложение на народния представител Божидар Божанов.
Предложението е оттеглено.
По § 15 има предложение на народния представител Божидар Божанов.
Комисията подкрепя по принцип предложението.
Комисията подкрепя по принцип текста на вносителя и предлага следната редакция на § 15:
„§ 15. В чл. 14, ал. 5 думите „чл. 4, ал. 1“ се заменят с „чл. 4а“ и се създава изречение второ: „Минист�ерството на вътрешните работи представя на ресорната комисия в Народното събрание доклад за извършените действия по преустановяване на интернет трафик веднъж на всеки 6 месеца.“
По § 16 има предложение на народния представител Божидар Божанов.
Предложението е оттеглено.
Предложение на народния представител Петя Димитрова по реда на чл. 79, ал. 7, т. 2 от ПОДНС.
Комисията подкрепя предложението.
Комисията подкрепя по принцип текста на вносителя и предлага следната редакция на § 16:
„§ 16. В чл. 15 се правят следните изменения и допълнения:
1. В ал. 2 думите „Държавна агенция „Национална сигурност“ администрира и ползва“ се заменят с „В Държавна агенция „Национална сигурност“ се администрира, ползва и развива.“
2. Създава се нова ал. 6:
„(6) При настъпване на инцидент с критични системи на стратегическите обекти и дейностите от значение за националната сигурност ръководителите на субектите незабавно уведомяват центъра по ал. 2 по реда на чл. 23.“
3. Досегашната ал. 6 става ал. 7.
4. Досегашната ал. 7 става ал. 8 и се изменя така:
„(8) Ръководителите на стратегически обекти и възлагащите и извършващите стратегически дейности от значение за националната сигурност предприемат действия по осигуряване на автоматизиран обмен на данни между информационните системи за сигурност на ръководените от тях обекти и дейности и центъра по ал. 2.“
По § 17 има предложение на народния представител Божидар Божанов.
Предложението е оттеглено.
Комисията подкрепя текста на вносителя за § 17, като:
1. В т. 3, в ал. 3, буква „е“, т. 7 думата „Комисията“ се заменя с „Европейската комисия“.
2. В т. 4 ал. 5 се изменя така:
„(5) Секторните екипи за реагиране при инциденти с компютърната сигурност към НКО си сътрудничат ефективно, ефикасно и сигурно чрез Националния екип за реагиране при инциденти с компютърната сигурност (НЕРИКС)“.
По § 18 има предложение на народния представител Божидар Божанов.
Комисията подкрепя предложението по буква „а“, а предложението по буква „б“ е оттеглено.
Комисията подкрепя по принцип текста на вносителя и предлага следната редакция на § 18:
„§ 18. В чл. 17 се правят следните изменения и допълнения:
1. В ал. 2 думите „мрежовата и информационната сигурност“ се заменят с „киберсигурността“.
2. Алинея 3 се изменя така:
„(3) Националното единно звено за контакт организира и координира дейността по предоставяне на информацията по чл. 6, ал. 3 на всеки две години.“
3. В ал. 4, т. 2 думите „мрежова и информационна сигурност“ се заменят с „киберсигурност“.
4. Създават се нови ал. 5 и 6:
„(5) Националното единно звено за контакт препраща информацията, посочена в чл. 6, ал. 1, с изключение на информацията по чл. 6, ал. 1, т. 3, на Агенцията на Европейския съюз за киберсигурност (ENISA).
(6) При получаване на информация за трансграничен инцидент от Националното единно звено за контакт (НЕЗК) на друга държава членка НЕЗК уведомява съответните национални компетентни органи (НКО)/СЕРИКС и координира дейностите по разрешаване на инцидента на национално ниво, както и докладва резултатите на уведомяващия НЕЗК.“
5. Досегашната ал. 5 става ал. 7.
6. Досегашната ал. 6 става ал. 8 и в нея след думите „ал. 5“ се добавя „и 7“, а думите „оператора на съществените услуги или на доставчика на цифрови услуги“ се заменят със „съществените и важни субекти“.
7. Досегашната ал. 7 става ал. 9 и в нея думите „по чл. 21, ал. 3, чл. 22, ал. 2, чл. 23, ал. 2 и чл. 25, ал. 3“ се заменят с „от съществените и важните субекти за инцидентите, които имат съществено въздействие върху непрекъснатостта на предоставяните от тях услуги“.
8. Досегашната ал. 8 става ал. 10 и в нея думите „ал. 7“ се заменят с „ал. 9“.
9. Създават се ал. 11 и 12:
„(11) Националното единно звено за контакт изготвя годишен обобщен доклад за оценка на риска, базиран на получените анализи от националните компетентни органи.
(12) Националното единно звено за контакт при целесъобразност обменя информация с компетентните органи по чл. 46 от Регламент (ЕС) 2022/2554.“
10. Досегашната ал. 9 става ал. 13.“
По § 19 има предложение на народния представител Костадин Костадинов, Ангел Славчев, Никола Димитров, Виолета Кърпачева:
„В § 19, чл. 17а, ал. 2 се изменя така:
„(2) Съветът по ал. 1 приема национален план за реакция при мащабни киберинциденти и кризи, подлежащ на актуализация на всеки две години, в който се определят целите, условията и редът за управление на мащабни киберинциденти и кризи. Планът се разработва в сътрудничество с Националното единно звено за контакт и включва:
1. целите на националните мерки за подготвеност, базирани на анализ на риска и сценарии за кризи;
2. ясни задачи и отговорности на органите за управление на киберкризи, включително резервни механизми при недостъпност на ключови лица;
3. процедури за управление на киберкризи, интегрирани в общата рамка за управление на кризи, с приоритетни канали за обмен на информация в реално време;
4. национални мерки за подготвеност, включително задължителни ежегодни учения с участие на публичния и частния сектор;
5. списък на ключови заинтересовани страни от публичния и частния сектор, както и на критична инфраструктура, подлежаща на защита;
6. национални и трансгранични процедури за координация с европейските институции, включително симулации на съвместни действия с мрежата на ЕС за киберкризи.“
Комисията не подкрепя предложението.
Комисията подкрепя текста на вносителя за § 19.
Комисията подкрепя текста на вносителя за § 20, като:
1. Точка 10 се изменя така:
„10. Досегашната ал. 9 става ал. 10“;
2. Създава се т. 11:
„11. Досегашната ал. 10 става ал. 11 и в нея думите „ал. 9, т. 2“ се заменят с „ ал. 10, т. 2“.
Комисията подкрепя текста на вносителя за § 21 като в т. 3 относно ал. 4 т. 3 накрая се добавя „от министъра на електронното управление“ .
Комисията подкрепя текста на вносителя за § 22, като:
1. В текста преди т. 1 се добавя „и допълнения“.
2. В т. 3 относно ал. 5, т. 5 думите „по конституционен ред“ се заменят със „със закон“.
По § 23 има предложение на народния представител Божидар Божанов.
Предложението е оттеглено.
Предложение от народния представител Петя Димитрова по реда на чл. 79, ал. 7, т. 2 от ПОДНС.
Комисията подкрепя предложението.
Комисията подкрепя по принцип текста на вносителя и предлага следната редакция на § 23:
„§ 23. В глава първа се създава чл. 20а:
„Партньорски проверки
Чл. 20а. (1) Министърът на електронното управление може да изпрати искане до Групата за сътрудничество и Агенцията на Европейския съюз за киберсигурност (ENISA) за извършването на партньорска проверка по Методика на Агенцията на Европейския съюз за киберсигурност (ENISA), която да обхваща един или повече от следните параметри:
1. степента на прилагане на мерките за управлението на риска в областта на киберсигурността и задълженията за докладване, предвидени в глава втора;
2. равнището на способностите, включително наличните финансови, технически и човешки ресурси, както и ефективността от изпълнението на задачите на националните компетентни органи;
3. оперативните способности на ЕРИКС;
4. степента на прилагане на взаимопомощта по чл. 27о, касаеща взаимопомощ и трансгранично сътрудничество;
5. степента на прилагане на договореностите за обмен на информация в областта на киберсигурността, посочени в глава втора „б“;
6. специфични въпроси от трансгранично или междусекторно естество.
(2) Преди започването на партньорската проверка проверяваният субект може да извърши самооценка на проверяваните аспекти и да предостави тази самооценка на експертите, определени да извършат партньорската проверка.
(3) Ръководителите на СЕРИКС и НЕРИКС могат да предложат на министъра на електронното управление да изпрати искане по реда на ал. 1.“
Комисията подкрепя текста на вносителя за § 24.
По § 25 има предложение на народните представители Костадин Костадинов, Ангел Славчев, Никола Димитров, Виолета Кърпачева:
В § 25 чл. 21 т. 2 думите „на всеки две години“ се заменят с „на всеки 12 месеца“.
Комисията не подкрепя предложението.
Предложение на народните представители Костадин Костадинов, Ангел Славчев, Никола Димитров, Виолета Кърпачева.
Комисията подкрепя предложението.
Предложение на народните представители Костадин Костадинов, Ангел Славчев, Никола Димитров, Виолета Кърпачева:
В § 25 в чл. 22 точка 11 и точка 12 се премахват.
Комисията не подкрепя предложението.
Предложение на народния представител Божидар Божанов.
Предложението е оттеглено.
Предложение от народния представител Петя Димитрова по реда на чл. 79, ал. 7, т. 2 от ПОДНС.
Комисията подкрепя по принцип предложението.
Предложение на народния представител Божидар Божанов.
Комисията подкрепя предложението.
Предложение на народния представител Иван Петков:
В § 25 новата редакция на чл. 24 се изменя така:
„Чл. 24 (1) За да се докаже съответствие с конкретни изисквания по чл. 22, Националният компетентен орган, след одобрението на Съвета по �киберсигурността, може да изиска от съществените и важните субекти да прилагат доказано ефективни и пропорционални технологични решения, основани на принципите за управление на риска, оперативна сигурност и икономическа ефективност.
(2) Използваните технологии следва да отговарят на следните принципи:
1. Принцип на технологична неутралност съгласно чл. 21, параграф 2 от Директива (ЕС) 2022/2555 (NIS2), като се позволява избор между различни решения, отговарящи на установените изисквания за сигурност.
2. Европейските схеми за киберсигурност, приети съгласно чл. 49 от Регламент (ЕС) 2019/881, без да се ограничава използването на други технологични решения, които отговарят на еквивалентни стандарти.
3. Международно признати стандарти и добри практики, които гарантират високо ниво на сигурност, оперативна съвместимост и ефективност.
(3) Националният компетентен орган насърчава съществените и важните субекти да използват удостоверителни и криптографски услуги, но без да налага конкретни продукти или доставчици в съответствие с принципите на Директива (ЕС) 2022/2555 (NIS2).“
Комисията не подкрепя предложението.
Предложение на народните представители Костадин Костадинов, Ангел Славчев, Никола Димитров, Виолета Кърпачева:
В § 25, чл. 24 се изменя така:
„Чл. 24 За да се докаже съответствие с изискванията по чл. 22 Националният компетентен орган (НКО), след консултация със Съвета по киберсигурността, може да препоръча на съществените и важните субекти използването на ИКТ продукти, услуги и процедури, сертифицирани по европейските схеми за киберсигурност съгласно Регламент (ЕС) 2019/881, когато те са доказани като оперативно и икономически ефективни чрез публично достъпен анализ. Задължително използване може да се изиска само при наличие на висок риск за националната сигурност, обоснован с писмено решение.“
Комисията не подкрепя предложението.
Предложение на народния представител Божидар Божанов.
Комисията подкрепя по принцип предложението.
Комисията подкрепя по принцип текста на вносителя и предлага следната редакция на § 25:
„§ 25. Член 21 се изменя така:
„Управление
Чл. 21. (1) Управителните органи на съществените и важните субекти и административните органи одобряват мерките за управление на риска в областта на киберсигурността, предприети от тези субекти с цел спазване на чл. 22, и следят за прилагането им.
(2) Членовете на управителните органи на съществените и важните субекти са длъжни на всеки две години да преминават през обучение за придобиване на достатъчно познания и умения, което да им позволи да идентифицират рискове и да оценяват практиките за управление на риска в областта на киберсигурността и тяхното въздействие върху услугите, предоставяни от субекта.
(3) Членовете на управителните органи на съществените и важните субекти са длъжни да предлагат и организират обученията по ал. 2 и за своите служители.“
Комисията предлага да се създадат нови § 26, 27, 28, 29, 30 и 31:
„§ 26. Член 22 се изменя така:
„Мерки за управление на риска в областта на киберсигурността
Чл. 22. (1) Съществените и важните субекти предприемат подходящи и пропорционални технически, оперативни и организационни мерки за управление на рисковете за сигурността на мрежовите и информационните системи в основната си дейност или при предоставяне на своите услуги. При спазване на принципа за технологична неутралност и като се вземат предвид последните постижения в тази област и когато е приложимо, съответните европейски и международни стандарти, както и разходите за прилагането им, чрез мерките за управление на риска се гарантира ниво на сигурност на мрежовите и информационните системи, съответстващо на риска. При оценката на пропорционалността на тези мерки надлежно се вземат предвид степента на излагане на рискове на субекта, размерът на субекта и вероятността от възникване на инциденти, както и тяхната значимост, включително тяхното обществено и икономическо въздействие.
(2) Мерките по ал. 1 се основават на подход, обхващащ всички опасности, които имат за цел да защитят мрежовите и информационните системи и физическата среда на тези системи от инциденти, и включват следното:
1. политики за анализ на риска и сигурност на информационните системи;
2. действия при инцидент;
3. непрекъснатост на стопанската дейност като управление на съхраняването на резервни копия на данните и възстановяване след бедствия, и управление на кризи;
4. сигурност на веригата за доставка, включително свързани със сигурността аспекти относно взаимовръзките между всеки субект и неговите преки снабдители или доставчици на услуги;
5. сигурност при придобиването на мрежови и информационни системи, разработване и поддръжка, включително предприемане на действия при уязвимости и оповестяването им;
6. политики и процедури за оценяване на ефективността на мерките за управление на риска в областта на киберсигурността;
7. основни киберхигиенни практики и обучение в областта на киберсигурността;
8. политики и процедури относно използването на криптография и когато е целесъобразно – криптиране;
9. сигурност на човешките ресурси, политики за контрол на достъпа и управление на активи;
10. използването на многофакторни решения за удостоверяване на автентичността или непрекъснато удостоверяване на автентичността, защитени гласови, видео и текстови съобщения и защитени системи за спешна комуникация в рамките на субекта, когато е целесъобразно;
11. управление на измененията на информационните активи;
12. мерки за управление на риска в областта на киберсигурността и задължения за докладване за субекти от вида, посочен в приложение I или II, както и за субекти, установени като критични съгласно Директива (ЕС) 2022/2557.
(3) При разглеждане на въпросите кои мерки по ал. 2, т. 4 са подходящи от субектите се изисква да вземат предвид уязвимостите, специфични за всеки пряк снабдител или доставчик на услуги, както и цялостното качество на продуктите и практиките в областта на киберсигурността на своите снабдители и доставчици на услуги, включително техните процедури за сигурно разработване. При определяне кои мерки от посочените в ал. 2, т. 4 са подходящи от субектите се изисква да вземат предвид резултатите от координираните оценки на риска за сигурността на критичните вериги на доставка, извършени в съответствие с чл. 23.
(4) При установен пропуск в спазването на мерките, предвидени в ал. 2, субектите предприемат всички необходими, подходящи и пропорционални коригиращи мерки за отстраняването му.“
§ 27. Член 23 се изменя така:
„Задължения за докладване
Чл. 23. (1) Съществените и важните субекти уведомяват СЕРИКС за всеки значителен инцидент по образец съгласно наредбите по чл. 3 при условията и по реда на ал. 5. Уведомяването не води до повишена отговорност за уведомяващия субект.
(2) Засегнатите субекти уведомяват, когато е подходящо и без ненужно забавяне, получателите на техните услуги за значителни инциденти, които има вероятност неблагоприятно да засегнат предоставянето на тези услуги. При изключителни обстоятелства, когато уведомяването и�м може да изложи на риск разследването на значителния инцидент, на субектите се разрешава, след получаване на съгласие от страна на съответния национален компетентен орган, да забавят уведомяването на получателите, докато националният компетентен орган счете, че е възможно да уведоми за нарушаването на сигурността на лични данни в съответствие с настоящия член.
(3) В случай че СЕРИКС установи информация за наличие на трансграничен или междусекторен значителен инцидент СЕРИКС изпраща незабавно информацията на националното единно звено за контакт.
(4) Съществените и важните субекти съобщават на получателите на техните услуги, които са потенциално засегнати от значителна киберзаплаха, всички мерки или средства за защита, които тези получатели могат да предприемат. Когато е целесъобразно, субектите уведомяват получателите на техните услуги и за вида на значителна киберзаплаха.
(5) За целите на уведомяването по ал. 1 засегнатите субекти подават до СЕРИКС:
1. до 24 часа след установяването на значителен инцидент – ранно предупреждение, в което, �когато е приложимо, се посочва дали се предполага, че значителният инцидент се дължи на незаконосъобразни или злонамерени действия и дали би могъл да има трансгранично въздействие;
2. до 72 часа след установяването на значителния инцидент – уведомление за инцидент, в което, когато е приложимо, се актуализира информацията по т. 1 и се посочва първоначална оценка на значителния инцидент, включително неговата тежест и въздействие, както и когато има такава техническа информация за инцидента; за доставчиците на удостоверителни услуги срокът по изречение първо е 24 часа;
3. по искане на СЕРИКС – междинен доклад, съдържащ актуализирана информация за инцидента;
4. окончателен доклад не по-късно от един месец след подаването на уведомлението за инцидента по т. 2, включващ:
а) подробно описание на инцидента, включително неговите обхват и въздействие;
б) вида на заплахата или причината, която вероятно е породила инцидента;
в) приложените и текущите мерки за ограничаване на инцидента;
г) когато е приложимо трансграничното въздействие на инцидента;
5. в случай че до изтичане на срока по т. 4 субектът не се е справил с инцидента, същият представя междинен доклад, съдържащ, доколкото е приложимо, информацията по т. 4 за справянето с инцидента. Субектите представят окончателен доклад в срок до един месец от справянето с инцидента.
(6) След получаването на ранното предупреждение по ал. 5, т. 1 СЕРИКС връща отговор на уведомяващия субект и му предоставя първоначална информация за значителния инцидент и при поискване от субекта предоставя насоки или оперативни съвети за прилагането на възможни мерки за ограничаване или допълнителна техническа подкрепа. Отговорът по изречение първо се изпраща не по-късно от 24 часа, освен ако по обективни причини срокът не може да бъде спазен, в които случаи отговорът се изпраща във възможно най-кратък срок.
(7) Когато има основания да се смята, че значителният инцидент представлява или е свързан с извършване на престъпление, СЕРИКС уведомява Главна дирекция „Борба с организираната престъпност“ на Министерството на вътрешните работи за значителния инцидент и ѝ предоставя цялата налична при него информация.
(8) Когато значителният инцидент засяга критична информационна система на стратегически обект или дейност от значение за националната сигурност или има основание да се смята, че значителният инцидент е свързан с намеса на чужда държава или инфраструктура, разположена извън страната, СЕРИКС незабавно уведомява Държавна агенция „Национална сигурност“ за значителния инцидент и ѝ предоставя цялата налична при него информация.
(9) Когато значителният инцидент засяга две или повече държави членки, Националното единно звено за контакт информира другите засегнати държави членки и Агенцията на Европейския съюз за киберсигурност (ENISA) за значителния инцидент, като запазват сигурността и търговските интереси на субекта, както и поверителността на предоставената информация в съответствие с приложимото законодателство. Уведомлението включва информация, получена по реда на ал. 5.
(10) С цел предотвратяване на значителен инцидент или справяне с текущ значителен инцидент или когато е в обществен ин�терес по друга причина, НЕРИКС, след като се консултира със засегнатия субект, може да оповести публично информация за значителния инцидент или да изиска от субекта да направи оповестяването.
(11) По искане на НЕРИКС Националното единно звено за контакт предава уведомленията, получени съгласно ал. 1, на единните звена за контакт на други засегнати държави членки.
(12) Предоставянето на други държави на информация за значителни инциденти, засягащи стратегически обект или дейност от значение за националната сигурност и свързани с намеса на чужда държава или инфраструктура, разположена извън страната, се извършва след съгласуване с Държавна агенция „Национална сигурност“.
(13) На всеки три месеца Националното единно звено за контакт представя на Агенцията на Европейския съюз за киберсигурност (ENISA) обобщаващ доклад, включващ анонимизирани и обобщени данни за значителните инциденти, за инцидентите, киберзаплахите и ситуациите, близки до инциденти, за които е изпратено уведомление в съответствие с ал. 1 от настоящия член или доброволно уведомление по реда на чл. 27д.
(14) Националният екип за реагиране при инциденти с компютърната сигурност предоставя на определените за компетентни органи съгласно Директива (ЕС) 2022/2557 информация относно значителните инциденти, инцидентите, киберзаплахите и ситуациите, близки до инциденти, за които е подадено уведомление в съответствие с ал. 1 или доброволно уведомление по реда на чл. 27д от субектите, установени като критични съгласно Директива (ЕС) 2022/2557.
§ 28. Член 24 се изменя така:
„Сертифициране на киберсигурността
Чл. 24. За да се докаже съответствие с конкретни изисквания по чл. 22, Министерският съвет с постановление, прието по предложение на Съвета по киберсигурността, може да създаде изисквания към съществените и важните субекти да използват конкретни, доказано подходящи в оперативно и икономическо отношение ИКТ продукти, ИКТ услуги и ИКТ процедури, които са разработени от тях или са придобити от трети страни, сертифицирани в рамките на европейските схеми за киберсигурност, приети съгласно член 49 от Регламент (ЕС) 2019/881 на Европейския парламент и на Съвета от 17 април 2019 г. относно ENISA (Агенцията на Европейския съюз за киберсигурност) и сертифицирането на киберсигурността на информационните и комуникационните технологии, както и за отмяна на Регламент (ЕС) № 526/2013 (Акт за киберсигурността) (OB, L 151/15 от 7 юни 2019 г.), наричан по-нататък „Регламент (ЕС) 2019/881“.
Националният компетентен орган насърчава съществените и важните субекти да използват квалифицирани удостоверителни услуги.“
§ 29. Член 25 се изменя така:
„Стандартизация
Чл. 25. Без да се налага употребата на определен тип технология и/или с цел хармонизираното прилагане на чл. 22, Съветът по киберсигурността насърчава използването на европейски и международни стандарти и технически спецификации от значение за сигурността на мрежовите и информационните системи.“
§ 30. Член 26 се изменя така:
„Координирана на равнището на Европейския съюз оценка на риска за сигурността на критични вериги за доставка
Чл. 26. (1) Министърът на електронното управление може да предлага конкретни критични ИКТ услуги, ИКТ системи или ИКТ продукти, по отношение на които да бъде извършена Координирана на равнището на Европейския съюз оценка на риска за сигурността на критични вериги за доставка съгласно чл. 22 от Директива (ЕС) 2022/2555 на Европейския парламент и на Съвета от 14 декември 2022 г. относно мерки за високо общо ниво на киберсигурност в Съюза, за изменение на Регламент (ЕС) № 910/2014 и Директива (ЕС) 2018/1972 и за отмяна на Директива (ЕС) 2016/1148 (OB, L 333/80 от 27 декември 2022 г.), наричана по-нататък „Директива (ЕС) 2022/2555“.
(2) Министърът на електронното управление представя резултатите от координираната оценка на Съвета по киберсигурността.“
§ 31. Член 27 се изменя така:
„Ограничаване на използването на рискови технологии
Чл. 27. (1) Съветът по киберсигурността идентифицира и прави оценка на технологичните и нетехнологичните рискове, като изготвя мотивирано предложение до Министерския съвет за приемане на постановление за ограничаване на използването от субектите по чл. 4 и 4а на конкретни технологии или на критични вериги за доставка на ИКТ услуги и ИКТ продукти с произход от страни извън Европейския съюз, доколкото с това не се засягат императивни разпоредби на правото на Европейския съюз или на действащото българско законодателство и не се влиза в противоречие с координираните оценки на риска в рамките на Европейския съюз.
(2) В случай че субектите по чл. 4 и 4�а вече използват технология, която е ограничена с постановлението по ал. 1, те трябва да преустановят използването ѝ най-късно до изтичане на експлоатационния период на същата или до преустановяване на поддръжката ѝ от производителя, което обстоятелство настъпи първо, освен в случаи на висок риск за националната сигурност.“
По § 26 има предложение на народния представител Божидар Божанов.
Предложението е оттеглено.
Комисията не подкрепя текста на вносителя и предлага § 26 да бъде отхвърлен.
Комисията подкрепя текста на вносителя за § 27, който става § 32, като в чл. 27а:
1. В ал. 1 думата „настоящия“ се заменя с „този“.
2. Навсякъде думата „Съюза“ се заменя с „Европейския съюз“.
По § 28 има предложение на народния представител Божидар Божанов.
Комисията не подкрепя предложението по ал. 5, а предложенията по ал. 6 и 7 са оттеглени.
Комисията подкрепя текста на вносителя за § 28, който става § 33, като:
1. В чл. 27г, ал. 1 думите „настоящия“ се заменят с „този“.
2. В чл. 27д, ал. 3 думите „единните звена“ се заменят с „единното звено“.
Можете да споделите това изказване с приятелите си като им изпратите следния линк:
Стража съществува благодарение на хора като Вас!