Министерски съвет Портал за обществени консултации
Регистрация

Профил на Ясен Танев

Обществени консултации с участието на Ясен Танев

Проект на Наредба за изменение и допълнение на Наредба № Н-18 от 2006 г. за регистриране и отчитане чрез фискални устройства на продажбите в търговските обекти, изискванията към софтуерите за управлението им и изисквания към лицата, които извършват продаж)
Неактивна

Моите коментари

31.03.2025 09:47 Изискване за централизирано и дистанционно зареждане на параметри

Всички фискални устройства, включително ИАСУТД, ЕСФП и ФУВАС, трябва да поддържат дистанционно и защитено зареждане на следните параметри и сътоветно превключване на посочената дата към режим:

  • датата на начало на двойна визуализация (BGN + EUR);

  • датата на автоматично превключване към евро като основна валута;

  • датата на прекратяване на използването на лева;

  • фиксирания обменен курс BGN/EUR

🔹 Технически изисквания:

  • Параметрите се зареждат автоматично чрез сървър на производителя/разпространителя или НАП

  • Превключването на режимите е автоматично и необратимо

  • Тези настройки не могат да бъдат заредени в ръчен режим

28.03.2025 09:49 Задължително изискване за покриване на изискванията на Регламент (ЕС) 2024/2847

Необходимост от разширение на техническите изисквания към фискалните устройства и терминалите за самообслужване в контекста на Регламент (ЕС) 2024/2847 относно киберустойчивостта на продукти с цифрови елементи (Cyber Resilience Act)

1. Въведение

Регламент (ЕС) 2024/2847, известен като Cyber Resilience Act (CRA), влезе в сила на 10 декември 2024 г. и се прилага от 2027 г. Неговата цел е да гарантира, че всички продукти с цифрови елементи, пуснати на пазара на Европейския съюз, отговарят на минимални изисквания за киберсигурност през целия си жизнен цикъл.

Фискалните устройства и терминалите за самообслужване, използвани на територията на Република България, попадат в обхвата на CRA, тъй като:

  • са продукти с цифрови елементи – включват хардуер и вграден софтуер;
  • се свързват към мрежа за отчитане на данни към НАП или други системи;
  • обработват чувствителна информация, включително платежни и идентификационни данни.

2. Основни изисквания на Cyber Resilience Act

Съгласно Членове 10–17 от CRA, производителите и доставчиците на цифрови продукти трябва да гарантират:

2.1. По време на проектиране и разработка:

  • Интегриране на сигурността по дизайн и по подразбиране.
  • Оценка на риска от уязвимости, включително при използване на софтуерни компоненти от трети страни.
  • Осигуряване на защитен механизъм за актуализация на софтуера и фърмуера.

2.2. След пускане на пазара:

  • Поддръжка и актуализации на сигурността за минимум 5 години или за обявения жизнен цикъл.
  • Уведомяване на ENISA и националните органи в срок до 24 часа след откриване на експлоатирана уязвимост или инцидент.
  • Публикуване на известия за сигурност до потребителите при необходимост от действия.

2.3. Оценка на съответствието:

  • Продукти с висок риск (напр. устройства за плащане или удостоверяване) подлежат на оценка от трета страна (notified body).
  • Производителят носи пълна отговорност за изпълнението на изискванията, включително чрез инструкции, логове и доказателства.

3. Санкции съгласно CRA

Съгласно Чл. 53 от CRA:

  • Глоба до 15 000 000 EUR или до 2.5% от общия световен годишен оборот на предприятието за най-сериозните нарушения:
    • неспазване на изискванията за сигурност;
    • липса на актуализации;
    • неспазване на срока за уведомление за уязвимости.
  • За предоставяне на невярна или непълна информация – глоба до 10 000 000 EUR или 2% от оборота.

4. Препоръки за национално прилагане

В контекста на CRA, е необходимо:

4.1. Актуализиране на Наредба № Н-18 чрез включване на нов раздел с разширени изисквания към:

  • сигурността на фърмуера и софтуера;
  • управлението на уязвимости и актуализации;
  • криптографска защита на комуникацията;
  • контрол върху интерфейси и отдалечен достъп;
  • срок на поддръжка и отговорност на производителите.

4.2. Въвеждане на национални санкции, съгласувани с CRA, чрез:

  • определяне на глоби до 50 000 лв. при несъответствие;
  • временно отнемане на одобрението на типа по чл. 10 от Наредба № Н-18;
  • изискване за регистър на сигурност към НАП за проследимост на актуализации и инциденти.

5. Заключение

Предвид навлизането в сила на Cyber Resilience Act, Република България следва да предприеме действия за хармонизиране на националната нормативна уредба, касаеща фискалните устройства и терминалите за самообслужване. Това ще гарантира:

  • по-висока степен на защита на данните;
  • съответствие с европейските стандарти;
  • избягване на тежки санкции за производители и доставчици;
  • засилване на доверието в националната фискална инфраструктура.

 

 

Стратегия за управление на данните в Република България, 2026-2030 г.)
Активна

Моите коментари

03.05.2026 12:26

В допълнение към горното, следва да се обърне внимание и на няколко съществени структурни дефицита, които не са изрично разгърнати в документа, но имат пряко значение за неговата реална приложимост.

На първо място, липсва ясно разписан модел за управление на данните в рамките на администрацията. В стратегията се говори за подобряване на координацията и качеството, но не е дефинирано кой конкретно ще носи отговорност за данните на институционално ниво. Отсъствието на ясно разграничени роли и отговорности създава риск от размиване на отговорността и неефективно изпълнение. Без въвеждане на структурирани функции за управление на данните във всяка администрация, заложените цели трудно могат да бъдат постигнати устойчиво.

На второ място, липсва достатъчно яснота относно последователността и зависимостите между отделните мерки. Част от предвидените действия предполагат наличието на вече изградена технологична и организационна основа, която към момента не съществува или е силно фрагментирана. Това поставя въпроса за реалистичността на времевия хоризонт и създава риск от паралелно стартиране на инициативи, които взаимно се блокират или дублират.

Не е достатъчно развит и въпросът за качеството на данните като постоянен процес, а не еднократно усилие. В документа липсват конкретни механизми за валидиране, актуализация и контрол на данните във времето. Без изграждане на системен подход към поддържането на данните, съществува риск създадените масиви да бъдат формално налични, но с ограничена практическа стойност.

Отделно от това, стратегията третира технологичната трансформация основно като въпрос на интеграция и свързаност, без да отчита в достатъчна степен необходимостта от цялостно управление на архитектурата на информационните системи. При наличие на множество наследени системи, разработвани в различни периоди и по различни стандарти, липсата на централизирана архитектурна рамка може да доведе до задълбочаване на съществуващите проблеми вместо до тяхното решаване.

Не на последно място, макар да се засягат теми като изкуствен интелект и използване на данни за вземане на решения, липсва по-задълбочен анализ на рисковете от автоматизирани решения и необходимостта от прозрачност и проследимост. В условията на нарастваща зависимост от алгоритмични модели, този аспект придобива все по-голямо значение и следва да бъде разгледан по-детайлно.

В този контекст, за да бъде стратегията не само концептуално правилна, но и реално приложима, е необходимо да се премине от описателен към управленски подход – с ясно дефинирани отговорности, последователност на действията и механизми за контрол и отчетност. Без такова доразвиване съществува риск документът да остане на ниво стратегическо намерение, без да доведе до съществена промяна в начина, по който публичният сектор управлява и използва данните.

03.05.2026 12:21

Проектът на стратегия разглежда важна и навременна тема, свързана с управлението и използването на данните в публичния сектор. Документът е в синхрон с европейските насоки и поставя правилни цели в общ план. В този си вид обаче той остава твърде общ и не дава достатъчно яснота как тези цели ще бъдат постигнати на практика.

Основният проблем е, че мерките са описани принципно, без достатъчно конкретика. В много случаи не е ясно кой носи отговорност, как ще се измерва напредъкът и как отделните действия са свързани помежду си. Това създава реален риск стратегията да се изпълнява формално – да има отчетност на хартия, без съществена промяна в начина, по който институциите работят с данни.

От практическа гледна точка следва да се отчете, че администрацията не е равномерно подготвена за такъв тип промяна. В голяма част от институциите липсва ясна организация за управление на данните, както и изградени навици за поддържане на тяхното качество. Без целенасочени усилия в тази посока, заложените мерки трудно ще дадат очаквания резултат.

Сериозно предизвикателство е и състоянието на съществуващите информационни системи. Те често са несъвместими помежду си, изграждани са по различно време и по различни стандарти. Без ясен план как тези системи ще бъдат приведени към обща рамка, целите за обмен и споделяне на данни остават трудно постижими.

Прави впечатление и недостатъчното внимание към сигурността. Разширяването на достъпа до данни и тяхното споделяне неизбежно води до по-голям риск. В документа липсва достатъчно ясно разписано как ще се гарантира защита на данните, кой носи отговорност и как ще се реагира при проблеми.

С оглед на горното считам, че стратегията следва да бъде доразвита в няколко основни посоки:

  • да се уточнят конкретните действия, срокове и отговорни институции;
  • да се въведат ясни показатели, по които да се следи напредъкът;
  • да се изгради работещ модел за управление на данните в администрацията;
  • да се предвиди реалистичен подход за обновяване и свързване на съществуващите системи;
  • да се постави по-силен акцент върху сигурността при работа с данни.

В заключение, стратегията е необходима и правилно насочена като замисъл, но за да има реален ефект, е необходимо да бъде направена по-конкретна, по-реалистична и по-добре обвързана с възможностите на администрацията.

Моля изчакайте

Този сайт използва бисквитки, за да подобри вашето потребителско изживяване. Прочетете повече тук