Обществени консултации

Закон за изменение и допълнение на Закона за киберсигурност

Необходимо e транспониране на Директива (ЕС) 2022/2555 (Директива МИС2) поради непълно съответствие на действащата нормативна уредба и действащите разпоредби в тази област на политиката.

За да се преодолее недостатъчната законова уредба от гледна точка на разгръщане на секторите, създаване на нови регулаторни функции, както и правила за управление на риска, свързан с ИКТ, в т.ч. за да се осигурят мерки по прилагането на Директива (ЕС) 2022/2555 и да се въведат предвидените изменения в националното законодателство, е необходимо в срок до 17 октомври 2024 г., да се измени действащият Закон за киберсигурност.

Законопроектът, в съответствие с Директивата МИС2, осигурява възможност за постигането на общата цел да се повиши нивото на защита срещу инциденти, рискове и заплахи за мрежовата и информационна сигурност в ЕС. Това би довело до смекчаване на потенциалните загуби на приходи поради кибератаки и би намалило големите разходи за смекчаване на заплахите ad hoc. Подобни ползи вероятно ще надделеят над необходимите инвестиционни разходи. Намаляването на фрагментирането на вътрешния пазар би подобрило и условията на равнопоставеност сред операторите.

Общата цел е да се обезпечи правната интеграция на българската киберсигурност с европейската, в т.ч. посредством въвеждането на подобрените европейски изисквания във връзка с оценката на риска например.

Конкретната цел е да се запълнят констатираните празноти и отстранят несъответствията в действащото българско законодателство чрез въвеждането на правила за капацитета за оценка на риска, докладването на инциденти, тестването, повишаването на осведомеността и осъзнатостта на факта, че киберинцидентите и липсата на адекватен отговор могат да застрашат стабилността както на публичните, така и на частните субекти.


Дата на откриване: 4.7.2024 г.
Целева група: Всички заинтересовани
Сфера на действие: Държавна администрация
Дата на приключване: 3.8.2024 г.
Коментари
Добави коментар
 
05 юли 2024 г. 18:07:34 ч.
Iliya Hristozov

За изменение на § 42, т. 1 от проекта

Така предложеният текст на разпоредбата на § 42, т. 1 от проекта:

§ 42. В Закона за електронните съобщения се правят следните изменения и допълнения:

1. В чл. 16, се създава ал. 2а:

„() Национален компетентен орган за субектите по чл. 4, ал. 1, т. 3, буква а) и б) е Комисията за регулиране на съобщенията.“

е неточен и непълен, защото е ясно, че не може да става въпрос за чл. 16 от ЗЕС, който регламентира дейностите на министъра на транспорта и съобщенията, а и няма алинеи в него. Освен това, така написана в ЗЕС, тази разпоредба реферира към разпоредбите на чл. 4, ал. 1, т. 3, буква а) и б) от ЗЕС, но в тях не става въпрос за субекти, а за целите на закона. Един внимателен анализ показва, че вероятно се имат предвид изменените разпоредби на чл. 4, т. 3, буква а) и б) от самия Закон за киберсигурност.

За преодоляване на горепосочената грешка, предлагам разпоредбата на § 42, т. 1 от проекта да се измени в един от двата варианта:

Вариант 1:

1. В чл. 21 се създава ал. 6:

„(6) Комисията изпълнява функциите на национален компетентен орган за субектите по чл. 4, т. 3, буква а) и б) от Закона за киберсигурност.“

или Вариант 2:

1. В чл. 30, ал. 1 се създава т. 30:

„30. изпълнява функциите на национален компетентен орган за субектите по чл. 4, т. 3, буква а) и б) от Закона за киберсигурност.“

в зависимост от това, за кое място в ЗЕС се прецени, че е по-подходящо за тази разпоредба.

 

Вероятно горепосочената грешка в разпоредбата на § 42, т. 1 от проекта се е допуснала, защото на някакъв по-ранен етап от изготвянето на проекта, тази разпоредба е била предвидена като нова алинея 2а на чл. 16 от самия Закон за киберсигурност, в което също има логика и смисъл. Затова, ако се прецени, че е необходимо, предлагам да се добави като § 17, т. 3 от проекта разпоредбата във вида:

3. В чл. 16 се създава ал. 2а:

„(2а) Национален компетентен орган за субектите по чл. 4, т. 3, буква а) и б) е Комисията за регулиране на съобщенията.“

и следващите точки в § 17 да се преномерират.

 

07 юли 2024 г. 12:19:54 ч.
Iliya Hristozov

Коригиране на технически грешки

1. На много места в изменените разпоредби на закона се правят препратки към „чл. 4, ал. 1, т….“, но в изменения текст на разпоредбата на чл. 4 вече няма алинеи, а само точки. Затова предлагам тези препратки да се коригират на чл. 4, т….“.

 

2. Предлагам в разпоредбата на § 17, т. 3, буква е) от проекта думите „т. 6 и 7“ да се заменят с думите „т. 6, 7 и 8,

защото се създава и нова т. 8.

 

3. Предлагам разпоредбата на § 40, т. 1 от проекта да се измени във вида:

„1. в срок до три месеца от влизането в сила на закона определя с решение административните органи по чл. 16, ал. 1 и приема методиката по чл. 16, ал. 3, т. 8;“

защото приемането на тази методика вече ще е регламентирано в чл. 16, ал. 3, т. 8 от закона.

 

4. Предлагам в разпоредбата на § 41 от проекта думите „решението по § 41, т. 1“ да се заменят с думите „решението по § 40, т. 1

за да е точна препратката.

 

5. За по-добра прецизност предлагам разпоредбата на § 42, т. 2 от проекта да се измени във вида:

2. В чл. 30, ал. 1, т. 22 думите „като при необходимост си съдейства с компетентните органи по чл. 244а, ал. 3“ и запетайката пред тях се заличават.“

 

6. В разпоредбата на § 42, т. 4 от проекта предлагам да се коригира думата „петнадасета“ с думата „петнадесета“.

 

15 юли 2024 г. 13:07:45 ч.
nipetkov

Производствени предприятия - част ОТ (Оперативни Технологии)

Здравейте,

Бих искал да обърна внимание на частта ОТ (Оперативни Технологии), които са от съществено значение за производствените предприятия.

По своята същност ОТ се различават значително от ИТ, като тук специалистите по темата „Киберсигурност“ трябва същевременно да разбират в детайли и темата „Системи за Индустриална Автоматизация“.

Изискванията и добрите практики към ОТ са описани в стандарта IEC 62443, който покрива част от стандарта ISO 27000 и от стандартите IEC 61511 / IEC 61508 по отношение на функционалната сигурност. Този стандарт условно може да се раздели на три подраздела, които посочват различните  изисквания, а именно:

  • Подраздел отнасящ се към крайните потребители (Производствените предприятия), които са обект на проверка съгласно МИС2;
  • Подраздел отнасящ се към фирмите Системи Интегратори (проектантски и инженерингови фирми), които проектират и внедряват Системи за Автоматизация и Задвижваният при горните;
  • Подраздел отнасящ се към производителите на технологично оборудване, занимаващи се с развойна дейност и производство на софтуерни и хардуерни продукти.

Както при ИТ, така и при ОТ обследването на съществуващата ситуация съгласно изискванията на IEC 62443 е началото на процеса по оценка на актуалното нивото сигурност, определящо последващите мерки за преминаване към по-високо ниво на сигурност.

Това са само част от особеностите в частта ОТ, поради което препоръчвам при производствените предприятия да се обърне допълнително внимание на оценката на частта ОТ.

 

С уважение,

Никола Петков

 

15 юли 2024 г. 13:09:09 ч.
nipetkov

Производствени предприятия - част ОТ (Оперативни Технологии)

Здравейте,

Бих искал да обърна внимание на частта ОТ (Оперативни Технологии), които са съществени за производствените предприятия.

По своята същност ОТ се различават значително от ИТ, като тук специалистите по темата „Киберсигурност“ трябва същевременно да разбират в детайли и темата „Системи за Индустриална Автоматизация“.

Изискванията и добрите практики към ОТ са описани в стандарта IEC 62443, който покрива част от стандарта ISO 27000 и от стандартите IEC 61511 / IEC 61508 по отношение на функционалната сигурност. Този стандарт условно може да се раздели на три подраздела, които посочват различните  изисквания, а именно:

  • Подраздел отнасящ се към крайните потребители (Производствените предприятия), обект на проверка съгласно МИС2;
  • Подраздел отнасящ се към фирмите Системи Интегратори (проектантски и инженерингови фирми), които проектират и внедряват Системи за Автоматизация и Задвижваният при горните и
  • Подраздел отнасящ се към производителите на технологично оборудване, занимаващи се с развойна дейност и производство на софтуерни и хардуерни продукти

Както при ИТ, така и при ОТ обследването на съществуващата ситуация съгласно изискванията на IEC 62443 е началото на процеса по оценка на актуалното нивото сигурност, определящо последващите мерки за преминаване към по-високо ниво на сигурност.

Това са само част от особеностите в частта ОТ, поради което препоръчвам при производствените предприятия да се обърне допълнително внимание на оценката на частта ОТ.

 

С уважение,

Никола Петков