Докладчик Петя Димитрова

Добре.

Предложение на народния представител Божидар Божанов:

„В §28 по отношение на чл. 27г се създават ал. 5 – 6:

„(5) Обменът на информация по ал. 1 е задължителен за държавните органи и публичните предприятия и се осъществява по ред, определен в наредбата по чл. 3, ал. 2“.

Комисията не подкрепя предложението по ал. 5, а предложенията по ал. 6 и 7 са оттеглени.

По § 29 има предложение от народния представител Божидар Божанов.

Предложението е оттеглено.

Предложение на народния представител Божидар Божанов по реда на чл. 79, ал. 7, т. 2 от ПОДНС.

Комисията подкрепя по принцип предложението.

Предложение на народните представители Костадин Костадинов, Ангел Славчев, Никола Димитров, Виолета Кърпачева:

„В §29 чл. 27к, т. 5 текстът се изменя така:

„5. Членовете на управителните органи на съществени и важни субекти одобряват мерките за управление на риска в областта на киберсигурността, предприети от тези субекти с цел спазване на чл. 22, следят за тяхното изпълнение и носят отговорност за нарушения на този член от страна на субектите.“

Комисията не подкрепя предложението.

Предложение на народния представител Петя Димитрова по реда на чл. 79, ал. 7, т. 2 от ПОДНС.

Комисията подкрепя предложението.

Комисията подкрепя по принцип текста на вносителя и предлага следната редакция на § 29, който става § 34:

„§ 34. Създава се глава втора „в“ с чл. 27е – 27о:

„Глава втора „в“

КОНТРОЛ

Органи

Чл. 27е. (1) Контролът за спазване на изискванията по този закон се осъществява от:

1. Националните компетентни органи по чл. 16;

2. Министерството на отбраната;

3. Министерството на вътрешните работи;

4. Държавна агенция „Национална сигурност“.

(2) За осъществяване на контрол по този закон органите по ал. 1 оправомощават със заповед длъжностни лица от съответната администрация.

Правомощия при осъществяване на контрола

Чл. 27ж. (1) При осъществяване на своите правомощия по отношение на съществените субекти органите по чл. 27е имат право да:

1. извършват проверки – планови и извънпланови, на място или дистанционни, извършвани от компетентни оправомощени длъжностни лица;

2. извършват редовни и целеви одити на сигурността, извършвани от независим орган или компетентен орган;

3. извършват извънпланови одити, когато са обосновани поради значителен инцидент или нарушение на този закон от страна на съществения субект;

4. извършват проверки за сигурност, основани на обективни, недискриминационни, справедливи и прозрачни критерии за оценка на риска, при необходимост, със съдействието на съответния субект;

5. изискват информация, необходима за оценка на мерките за управление на риска в областта на киберсигурността, приети от съответния субект, включително документирани политики в областта на киберсигурност, както и изпълнение на задълженията за изпращане на информация на националните компетентни органи съгласно чл. 27в (Регистъра на ENISA);

6. им бъде предоставен достъп до данни, документи и всякаква информация, необходими за осъществяването на техните надзорни задачи;

7. изискват и да им бъдат предоставени доказателства за изпълнение на политиките в областта на киберсигурността, като например резултатите от одитите на сигурността, извършени от квалифициран одитор, и съответните подкрепящи доказателства.

(2) При осъществяване на своите правомощия по отношение на важните субекти органите по чл. 27е имат право да:

1. извършват проверки на място и последващ дистанционен надзор, извършвани от компетентни оправомощени длъжностни лица;

2. извършват целеви одити на сигурността, извършвани от независим орган или компетентен орган;

3. извършват проверки за сигурност, основани на обективни, недискриминационни, справедливи и прозрачни критерии за оценка на риска, при необходимост, със съдействието на съответния субект;

4. изискват информация, необходима за последваща оценка на мерките за управление на риска в областта на киберсигурността, приети от съответния субект, включително документирани политики за киберсигурност, както и съответствие със задълженията за изпращане на информация до националните компетентни органи съгласно чл. 27в;

5. изискват достъп до данни, документи и информация, необходими за изпълнението на надзорните им задачи;

6. изискват доказателства за изпълнението на политиките в областта на киберсигурността, като например резултатите от одитите на сигурността, извършени от квалифициран одитор, и съответните подкрепящи доказателства.

(3) При упражняване на своите правомощия по ал. 1, т. 5, 6 и 7, съответно ал. 2, т. 4, 5 и 6, националните компетентни органи заявяват целта на своето искане и поясняват исканата информация.

Целеви одити на сигурността

Чл. 27з. (1) Целевите одити на сигурността, посочени в чл. 27ж, се основават на оценки на риска, извършени от компетентния орган или одитирания субект, или на друга налична информация, свързана с риска.

(2) Резултатите от всеки целеви одит на сигурността се предоставят на националните компетентни органи по чл. 16, ал. 1.

(3) Разходите за такъв целеви одит на сигурността, извършен от независим орган, се заплащат от одитирания субект, освен в надлежно обосновани случаи, когато националният компетентен орган реши друго.

Предупреждения, задължителни предписания и разпореждания

Чл. 27и. (1) При осъществяване на своите правомощия органите по чл. 27е издават:

1. предупреждения;

2. задължителни предписания или разпореждания, с които се изисква от засегнатите субекти да отстранят установените пропуски или нарушения на този закон, а за съществените субекти – и предписания относно мерките, необходими за предотвратяване на възникването на инцидент или за справяне с него, за изпълнение на задължение за докладване, както и да определят срокове за изпълнение на такива мерки;

3. разпореждания за преустановяване на поведение, което нарушава закона, и за въздържане от повтаряне на такова поведение;

4. разпореждания за гарантиране, че мерките за управление на риска в областта на киберсигурността са в съответствие с чл. 22, или че са изпълнени задълженията за докладване по чл. 23 по конкретен начин, за което да е определен срок;

5. разпореждания към засегнатите субекти да уведомяват физическите или юридическите лица, на които предоставят услуги или по отношение на които извършват дейности и които са потенциално засегнати от значителна киберзаплаха, за естеството на заплахата, както и за възможните защитни или коригиращи мерки, които могат да предприемат в отговор на тази заплаха;

6. разпореждания към засегнатите субекти да изпълняват препоръките, предвидени в резултат на одит на сигурността, като определят за това разумен срок;

7. разпореждания към засегнатите субекти да обявят публично извършеното от тях нарушение, като определят подходящ начин за това.

(2) По отношение на съществените субекти органите по чл. 27е могат да определят длъжностно лице по надзор за спазването на чл. 22 и 23 от засегнатите субекти, както и на неговите конкретни задачи и срок за изпълнение.

Принудителни мерки

Чл. 27к. (1) За непредприемане на действията, определени по реда на чл. 27и, ал. 1, т. 1 – 4 и т. 6, акт за временно спиране на действието на лиценз, регистрация, сертификат или разрешение относно всички или част от съответните предоставени услуги или дейностите, извършвани от съществения субект, се издава от:

1. националния компетентен орган, в случаите, в които той е издал лиценза, сертификата или разрешението или е извършил регистрацията, или

2. съд или съответния компетентен административен орган по искане на националния компетентен орган.

(2) За непредприемане на действията, определени по реда на чл. 23, чл. 27и, ал. 1, т. 1 – 4 и т. 6, националният компетентен орган по чл. 27е може да изиска от съд или от друг държавен орган налагането на временна забрана спрямо всяко физическо лице, изпълняващо управленски функции, или законен представител на съществен субект да упражнява управленски функции в него.

(3) Компетентният административен орган за временно спиране на лиценз, регистрация, сертификат или разрешение по ал. 1 се произнася с индивидуален административен акт, който може да бъде обжалван по реда на Административнопроцесуалния кодекс.

(4) Алинеи 1 и 2 не се прилагат по отношение на съществени субекти, които са административни органи.

(5) Всяко физическо лице, отговорно за съществен или важен субект или действащо като негов законен представител въз основа на правомощие да го представлява, да взема решения от негово име или да упражнява контрол върху него, има необходимите правомощия, за да осигури спазването на закона. За тези лица се прилагат всички мерки, предвидени в закона и могат да бъдат подведени под отговорност за неизпълнението на своите задължения.

Задължение за информиране

Чл. 27л. Органите по чл. 16 информират съответните компетентни органи съгласно Директива (ЕС) 2022/2557, когато упражняват своите правомощия, имащи за цел да гарантират спазването на настоящия закон от съществен субект, установен като критичен субект съгласно Директива (ЕС) 2022/2557. Когато е целесъобразно, компетентните органи съгласно Директива (ЕС) 2022/2557 могат да поискат от националните компетентни органи по чл. 16 да упражняват своите правомощия във връзка със съществен субект, който е установен като критичен съгласно Директива (ЕС) 2022/2557.

Сътрудничество и взаимодействие

Чл. 27м. Компетентните органи съгласно този закон си сътрудничат със съответните компетентни органи на засегнатата държава членка съгласно Регламент (ЕС) 2022/2554. Компетентните органи съгласно закона информират надзорния форум, установен съгласно член 32, параграф 1 от Регламент (ЕС) 2022/2554, когато упражняват своите надзорни и правоприлагащи правомощия, целящи гарантиране на спазването на закона от страна на съществен или важен субект, който е определен като трета страна критичен доставчик на услуги в областта на ИКТ, в съответствие с член 31 от Регламент (ЕС) 2022/2554.

Нарушения в сигурността на личните данни

Чл. 27н. (1) Органите по чл. 16 уведомяват незабавно Комисията за защита на личните данни, когато при осъществяване на своите правомощия установят извършено нарушение от съществен или важен субект, което би могло да доведе до нарушаване на сигурността на личните данни съгласно Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент относно защитата на данните) (OB, L 119/1 от 4 май 2016 г.), наричан по-нататък „Регламент (ЕС)2016/679“ и Закона за защита на личните данни.

(2) Когато надзорните органи, посочени в член 55 или член 56 от Регламент (ЕС) 2016/679, наложат имуществена санкция съгласно чл. 58, параграф 2, буква „и“ от същия регламент, компетентните органи по този закон не налагат имуществена санкция съгласно чл. 27л по отношение на ал. 1, произтичащо от същото деяние, което е било предмет на имуществена санкция съгласно член 58, параграф 2, буква „и“ от Регламент (ЕС) 2016/679. В тези случаи компетентните органи по този закон могат да налагат само мерките, предвидени в чл. 27л.

(3) Когато надзорният орган, компетентен съгласно Регламент (ЕС) 2016/679, е установен в държава членка, различна от тази на компетентния орган по този закон, компетентният орган уведомява Комисията за защита на личните данни относно възможното нарушаване на сигурността на данните, посочено в ал. 1.

Взаимопомощ

Чл. 27о. (1) Когато субект предоставя услуги на територията на Република България и в друга държава членка и неговите мрежови и информационни системи са разположени на територията на Република България и в други държави членки, компетентните органи по този закон си сътрудничат и се подпомагат взаимно с компетентните органи на засегнатите държави членки, ако е необходимо. Това сътрудничество включва най-малко следното:

1. националните компетентни органи посредством единното звено за контакт уведомяват и се консултират с компетентните органи в другите засегнати държави членки относно предприетите надзорни и правоприлагащи мерки;

2. национален компетентен орган може да поиска от друг компетентен орган в друга държава членка да предприеме надзорни или правоприлагащи мерки;

3. когато национален компетентен орган получи обосновано искане от друг компетентен орган, включително от друга държава членка, той му оказва взаимопомощ, пропорционална на собствените му ресурси, така че надзорните и правоприлагащите мерки да могат да бъдат приложени по ефективен, ефикасен и последователен начин.

(2) Взаимопомощта, посочена в ал. 1, т. 3, може да обхваща искания за информация и надзорни мерки, включително искания за провеждане на проверки на място или дистанционен надзор, или целеви одити на сигурността. Национален компетентен орган, към когото е отправено искане за помощ, не отхвърля това искане, освен ако не бъде установено, че не е компетентен да предостави исканата помощ, поисканата помощ не е пропорционална на надзорните задачи на националния компетентен орган или искането се отнася до информация или включва дейности, които, ако бъдат оповестени или извършени, биха противоречили на националната сигурност, обществената сигурност или отбраната. Преди да отхвърли такова искане, националният компетентен орган се консултира с другите засегнати компетентни органи както и по искане на една от засегнатите държави членки – с Европейската комисия и Агенцията на Европейския съюз за киберсигурност (ENISA).

(3) Когато е подходящо и при общо съгласие, компетентните органи могат да извършват общи надзорни действия с компетентни органи от други държави членки.“

По § 30 има предложение на народния представител Божидар Божанов.

Комисията подкрепя предложението.

Предложение на народните представители Костадин Костадинов, Ангел Славчев, Никола Димитров и Виолета Кърпачева.

Комисията подкрепя по принцип предложението.

Предложение на народните представители Костадин Костадинов, Ангел Славчев, Никола Димитров и Виолета Кърпачева.

Комисията подкрепя по принцип предложението.

Комисията подкрепя по принцип текста на вносителя и предлага следната редакция на § 30, който става § 35:

„§ 35. Член 28 се изменя така:

„Отговорност за неизпълнение на принудителни административни мерки

Чл. 28. (1) Съществен или важен субект, който не изпълни принудителна административна мярка по смисъла на чл. 27и, ал. 1, т. 2 – 7, се наказва с глоба или с имуществена санкция в размер от 5000 до 25 000 лв.

(2) При повторно нарушение по ал. 1 наказанието е глоба или имуществена санкция в размер от 10 000 до 50 000 лв.“

Комисията предлага да се създадат нови § 36 и § 37:

„§ 36. Член 29 се изменя така:

„Глоби и имуществени санкции

Чл. 29. (1) Глобите и имуществените санкции се налагат независимо от която и да е от мерките, посочени в чл. 27и, ал. 1, т. 2 – 7 и чл. 27к.

(2) На съществен субект, който не изпълни задълженията по чл. 22 и 23, се налага имуществена санкция от 50 000 лв. до 2 на сто от общия световен годишен оборот за предходната финансова година на предприятието, към което принадлежи същественият субект или 20 000 000 лв., която от двете суми е по-голяма.

(3) На важен субект, който не изпълни задълженията по чл. 22 и 23, се налага имуществена санкция от 25 000 лв. до 1,4 на сто от общия световен годишен оборот за предходната финансова година на предприятието, към което принадлежи важният субект или 14 000 000 лв., която от двете суми е по-голяма.

(4) При нарушение на чл. 21 на ръководителите на административните органи, управителите или членовете на управителните органи на съществените и важните субекти се налага глоба в размер на 1000 лв. до 10 000 лв.

(5) Алинея 2 не се прилага по отношение на съществени субекти, които са административни органи.“

§ 37. Създава се чл. 29б:

„Чл. 29б. При прилагане на принудителна мярка по чл. 27и и/или налагане на наказание глоба или имуществена санкция по чл. 28 или 29 органите по чл. 27е вземат предвид следните обстоятелства:

1. степента на обществена опасност на извършеното нарушение;

2. повторност на нарушението;

3. дали нарушението е извършено умишлено, или по непредпазливост;

4. неуведомяване или липса на реакция от страна на нарушителя при възникване на значителни инциденти;

5. причинените имуществени или неимуществени вреди от извършеното нарушение и неговото въздействие върху други услуги и брой на засегнатите потребители;

6. възпрепятстване от страна на нарушителя на одити или дейности по мониторинг след установяване на нарушението;

7. предоставяне от страна на нарушителя на невярна или непълна информация във връзка с мерките за управление на риска в областта на киберсигурността или задълженията за докладване;

8. всички предприети от нарушителя мерки за предотвратяване или ограничаване на имуществените или неимуществените вреди.“

Комисията подкрепя текста на вносителя за § 31, който става § 38, като думите „и допълнения“ се заличават.

По § 32 има предложение на народния представител Божидар Божанов.

Комисията подкрепя по принцип предложението.

Комисията подкрепя текста на вносителя за § 32, който става § 39, като се създава т. 3:

„3. В ал. 4 думите „чл. 15, ал. 6“ се заменят „чл. 15, ал. 7“.

По § 33 има предложение на народния представител Божидар Божанов.

Комисията подкрепя предложението по буква ,,б“, а по буква „а“ е оттеглено.

Предложение на народния представител Петя Димитрова по реда на чл. 79, ал. 7, т. 2 от ПОДНС.

Комисията подкрепя предложението.

Комисията подкрепя по принцип текста на вносителя и предлага следната редакция на § 33, който става § 40:

„§ 40. В допълнителните разпоредби се правят следните изменения и допълнения:

1. Параграфи 1 и 2 се изменят така:

„§ 1. Този закон въвежда изисквания на Директива (ЕС) 2022/2555 на Европейския парламент и на Съвета от 14 декември 2022 г. относно мерки за високо общо ниво на киберсигурност в Съюза, за изменение на Регламент (ЕС) № 910/2014 и Директива (ЕС) 2018/1972 и за отмяна на Директива (ЕС) 2016/1148 (Директива МИС 2) (OB, L 333/80 от 27 декември 2022 г.).

§ 2. Този закон предвижда мерки по прилагане на „Приложение към заключенията на Съвета относно сигурността на веригата за доставки на ИКТ, одобрени от Съвета на заседанието му от 17 октомври 2022 г.“

2. Създава се § 2а:

„§ 2а. Този закон предвижда мерки по прилагане на Насоки на Комисията за прилагане на чл. 3, § 4 от Директива (ЕС) 2022/2555 (Директива МИС 2) (2023/С 324/02).“

3. В § 3:

а) т. 1 се изменя така:

„1. Административен орган“ е орган, който принадлежи към системата на изпълнителната власт.“;

б) т. 2 се изменя така:

„2. Група за сътрудничество“ е групата по смисъла на чл. 14 от Директива (ЕС) 2022/2555 на Европейския парламент и на Съвета от 14 декември 2022 г. относно мерки за високо общо ниво на киберсигурност в Съюза, за изменение на Регламент (ЕС) № 910/2014 и Директива (ЕС) 2018/1972 и за отмяна на Директива (ЕС) 2016/1148 (Директива МИС 2).“;

в) създава се т. 2а:

„2а. „Национална стратегия за киберсигурност“ е съгласувана рамка на държавата, съдържаща стратегически цели и приоритети в областта на киберсигурността и управленските методи за постигането им.“;

г) т. 3 се изменя така:

„3. „Действия при инцидент“ са всякакви действия и процедури, имащи за цел предотвратяването, установяването, анализа, ограничаването или реагирането на инцидент и възстановяването от него.“;

д) създава се т. 4а:

„4а. „Система за имена на домейни“ или „DNS“ е йерархична разпределена система за именуване, която позволява идентифициране на интернет услуги и ресурси, позволявайки на устройствата на крайните ползватели да използват интернет маршрутизация и услуги за свързване, за да достигнат до тези услуги и ресурси.“;

е) т. 5 се изменя така:

„5. „Доставчик на DNS услуги“ е субект, предоставящ:

а) публично достъпни рекурсивни услуги за преобразуване на имена на домейни за крайни интернет ползватели, или

б) услуги за овластено преобразуване на имена на домейни за използване от трета страна с изключение на базови сървъри за имена.“;

ж) т. 9 се изменя така:

„9. „Ситуация, близка до инцидент“ е събитие, което е могло да засегне отрицателно наличността, автентичността, цялостността или поверителността на съхранявани, пренасяни или обработвани данни или на услугите, предлагани или достъпни чрез мрежови и информационни системи, чието случване (чиято активност е била предотвратена) е било успешно предотвратено или което не се е осъществило.“;

з) т. 11 се изменя така:

„11. „Киберзаплаха“ е всяко потенциално обстоятелство, събитие или действие, което може да навреди, наруши или по друг начин да окаже неблагоприятно въздействие върху мрежите и информационните системи, върху ползвателите на такива мрежи и системи и други лица.“;

и) създава се т. 11а:

„11а. „Значителна киберзаплаха“ е киберзаплаха, за която въз основа на техническите ѝ характеристики може да се предположи, че има потенциал да окаже сериозно въздействие върху мрежовите и информационните системи на даден субект или върху ползвателите на услугите на субекта, като причини значителни материални или нематериални вреди.“;

к) създава се т. 12а:

„12а. „Инцидент“ е събитие, което засяга отрицателно наличността, автентичността, цялостността или поверителността на съхранявани, пренасяни или обработвани данни или на услугите, предлагани или достъпни чрез мрежови и информационни системи.“;

л) създава се т. 15а:

„15а. „Мащабен киберинцидент“ е инцидент, който причинява степен на смущение, надхвърляща способността на държавата да реагира на него, или който има значително въздействие върху най-малко две държави членки.“;

м) т. 19 се изменя така:

„19. „Компютърна услуга „в облак“ е цифрова услуга, която дава възможност за администриране при поискване и широк отдалечен достъп до променлив по мащаб и еластичен набор от компютърни ресурси, които могат да бъдат ползвани съвместно, включително когато тези ресурси са разпределени на няколко места.“;

н) в т. 21 думите „мрежова и информационна сигурност“ се заменят с „киберсигурност“;

о) т. 22 се изменя така:

„22. „Мрежата на националните екипи за реагиране при инциденти с компютърната сигурност“ е мрежата по смисъла на чл. 15 от Директива (ЕС) 2022/2555 на Европейския парламент и на Съвета от 14 декември 2022 г. относно мерки за високо общо ниво на киберсигурност в Съюза, за изменение на Регламент (ЕС) № 910/2014 и Директива (ЕС) 2018/1972 и за отмяна на Директива (ЕС) 2016/1148 (Директива МИС 2).“;

п) т. 24 се изменя така:

„24. „Онлайн място за търговия“ е услуга, която чрез използване на софтуер, включително уебсайт, част от уебсайт или приложение, управлявани от търговеца или от негово име, позволява на потребителите да сключват договори от разстояние с други търговци или потребители“;

р) създават се т. 27а – 27в:

„27а. „ИКТ продукт“ е ИКТ продукт съгласно определението в чл. 2, т. 12 от Регламент (ЕС) 2019/881.

276. „ИКТ услуга“ е ИКТ услуга съгласно определението в чл. 2, т. 13 от Регламент (ЕС) 2019/881.

27в. „ИКТ процес“ е ИКТ процес съгласно определението в чл. 2, т. 14 от Регламент (ЕС) 2019/881.“;

с) т. 28 се изменя така:

„28. „Представител“ е установено в Съюза физическо или юридическо лице, изрично определено да действа от името на доставчик на DNS услуги, регистър на имена на домейни от първо ниво, субект, предоставящ услуги за регистрация на имена на домейни, доставчик на компютърни услуги „в облак“, доставчик на услуги на център за данни, доставчик на мрежи за предоставяне на съдържание, доставчик на управлявани услуги, доставчик на управлявани услуги за сигурност или доставчик на онлайн места за търговия, на онлайн търсачки или на платформи на услуги за социални мрежи, което не е установено в Съюза, и към което, по отношение на задълженията на даден субект съгласно настоящата директива, компетентен орган или ЕРИКС може да се обръща вместо към самия субект.“;

т) т. 29 се изменя така:

„29. „Регистър на имена на домейни от първо ниво“ е субект, на който е поверен конкретен домейн от първо ниво и който е отговорен за администрирането на този домейн, включително за регистрацията на имена на домейни на нива под домейна от първо ниво и техническото функциониране на този домейн, включително функционирането на неговите сървъри за имена, поддръжката на неговите бази данни и разпределението на файловете на зоните на домейна от първо ниво в сървърите за имена, независимо дали която и да е от тези операции се извършва от субекта или е възложена на външни изпълнители, като обаче се изключват ситуациите, при които имената на домейни от първо ниво са използвани от регистър единствено за собствено ползване.“;

у) създава се т. 29а:

„29а. „Субект, предоставящ услуги за регистрация на имена на домейни“ е регистратор или агент, действащ от името на регистратори, като например доставчик или препродавач на услуги за поверителност или прокси услуги.“;

ф) т. 30 се изменя така:

„30. „Риск“ е потенциалната загуба или потенциалното смущение в резултат на даден инцидент и трябва да се изразява като комбинация от мащаба на загубата или смущението и вероятността от настъпване на инцидента.“;

х) създават се т. 31а – 31г:

„31а. „Удостоверителна услуга“ е удостоверителна услуга съгласно определението в чл. 3, т. 16 от Регламент (ЕС) № 910/2014.

31б. „Доставчик на удостоверителна услуга“ е доставчик на удостоверителна услуга съгласно определението в чл. 3, т. 19 от Регламент (ЕС) № 910/2014.

31в. „Квалифицирана удостоверителна услуга“ е квалифицирана удостоверителна услуга съгласно определението в чл. 3, т. 17 от Регламент (ЕС) № 910/2014.

31г. „Доставчик на квалифицирана удостоверителна услуга“ е доставчик на квалифицирана удостоверителна услуга съгласно определението в чл. 3, т. 20 от Регламент (ЕС) № 910/2014.“;

ц) създава се т. 32а:

„32а. „Стандарт“ е стандарт съгласно определението в чл. 2, т. 1 от Регламент (ЕС) № 1025/2012 на Европейския парламент и на Съвета.“;

ч) т. 34 се изменя така:

„34. „Уязвимост“ е слабост, предразположеност или недостатък на ИКТ продукти или ИКТ услуги, които могат да бъдат използвани при киберзаплаха.“;

ш) т. 36 се изменя така:

„36. „Цифрова инфраструктура“ е инфраструктурата, която включва категориите, посочени в Приложение № 1, т. 8.“;

щ) създават се т. 37 – 61:“

Извинявайте, госпожо Председател, ако може смяна.