Законопроектът относно МИС2 в България е в процес на обсъждане!

Обща информация и цел:

Законопроектът, в съответствие с Директивата МИС2, осигурява възможност за постигането на общата цел да се повиши нивото на защита срещу инциденти, рискове и заплахи за мрежовата и информационна сигурност в ЕС. Обществените консултации са предвидени в рамките на срок от един месец - от 04.07.24г до 03.08.24 г. Повече за законопроекта и възможността за коментари и допълнения можете да научите тук.

Общата цел е да се обезпечи правната интеграция на българската киберсигурност с европейската, в т.ч. посредством въвеждането на подобрените европейски изисквания във връзка с оценката на риска например.

Конкретната цел е да се запълнят констатираните празноти и отстранят несъответствията в действащото българско законодателство чрез въвеждането на правила за капацитета за оценка на риска, докладването на инциденти, тестването, повишаването на осведомеността и осъзнатостта на факта, че киберинцидентите и липсата на адекватен отговор могат да застрашат стабилността както на публичните, така и на частните субекти.

На компетентните органи се предоставят широки пълномощия по управление и надзор политиките по киберсигурност по отношение на определените субекти – съществени и важни. Компетентните органи следва да бъдат оправомощени да прилагат санкции, състоящи се в спиране на сертифициране или разрешение относно част или всички услуги пропорционално на тежестта на нарушението. От компетентните органи се изисква да упражняват надзор върху субектите, попадащи в обхвата на директивата, и по-специално да гарантират спазването от тяхна страна на изискванията за сигурност и уведомяване за инциденти.

С промяната на закона се разширяват секторите на въздействие, а именно:

  1. Енергетика
  2. Транспорт
  3. Банков сектор
  4. Инфраструктури на финансовия пазар
  5. Здравеопазване
  6. Питейна вода
  7. Отпадъчни води
  8. Цифрова инфраструктура
  9. Управление на услуги в областта на ИКТ (между предприятия)
  10. Публична администрация
  11. Космическо пространство

Други критични сектори:

  1. Пощенски и куриерски услуги
  2. Управление на отпадъците
  3. Производство, изготвяне и дистрибуция на химикали
  4. Производство, преработка и разпространение на храни
  5. Производство
  6. Доставчици на цифрови услуги
  7. Научни изследвания

Като резултат от приемането на предлаганите изменения се очаква:

  • създаване на условия за изграждане на ефективна система за превенция и борба с кибератаките;
  • ограничаване на мащаба, честотата и въздействието на инцидентите;
  • противодействие на инцидентите, които причиняват значителни финансови загуби, подкопават доверието на потребителите и причиняват сериозни вреди на икономиката на държавата;
  • ограничаване на транснационалния характер на инцидентите;
  • установяване на условия за равнопоставеност по отношение на контрола на съществените и важни субекти, и административните органи;
  • улесняване на достъпа до надлежна информация, касаеща услуга, която е от съществено значение за поддържането на особено важни обществени и/или стопански дейности;
  • повишаване на сигурността чрез създаване и поддръжка на непубличен регистър на определените субекти в кръга на законопроекта, както и на самите съществени услуги;
  • въвеждане на ясна йерархична структура в управлението и организацията на националната система за киберсигурност;
  • подобряване на надеждността, устойчивостта и ефективността на мрежите и информационните системи на всички субекти в обхвата на закона.

За кои предприятия се отнася този проектозакон: 

Този проектозакон се отнася до така наречените „Съществени и важни субекти“, които са:

  1. За целите на закона следните субекти се считат за съществени субекти:

субекти от видовете, посочени в приложение I, които надхвърлят таваните за средни предприятия, установени в чл. 3, ал. 1 от Закона за малките и средните предприятия;

          Чл. 3. (Изм. - ДВ, бр. 59 от 2006 г.) (1) Категорията малки и средни предприятия включва предприятията, които имат:

  1. средносписъчен брой на персонала, по-малък от 250 души, и
  2. годишен оборот, който не превишава 97 500 000 лв., и/или стойност на активите, която не превишава 84 000 000 лв.

          (2) От предприятията по ал. 1 малки предприятия са тези, които имат:

  1. средносписъчен брой на персонала, по-малък от 50 души, и
  2. годишен оборот, който не превишава 19 500 000 лв., и/или стойност на активите, която не превишава 19 500 000 лв.

          (3) От предприятията по ал. 1 микропредприятия са тези, които имат:

  1. средносписъчен брой на персонала, по-малък от 10 души, и
  2. годишен оборот, който не превишава 3 900 000 лв., и/или стойност на активите, която не превишава 3 900 000 лв.

      

  1. Важни субекти: За целите на закона субектите от видовете, посочени в приложение I или II, които не отговарят на критериите за съществени субекти съгласно ал. 1, се считат за важни субекти. Задълженията и отговорностите от проектозаконът ще важат с пълна сила, както съществените субекти така и за важните субекти.

 

Задължения и отговорности:

  1. Регистрация към Министерство на електронното управление;
  2. Разпределение на отговорностите за киберсигурност;
  3. Прилагане на политика за киберсигурност;
  4. Процедура за докладване на инцидент в рамките до 24 часа;
  5. Непрекъснатост на услугите и стопанската дейност;
  6. Сигурност на веригата за доставки;
  7. Политики и процедури за оценяване на ефективността на мерките за управление на риска в областта на киберсигурността;
  8. Обучение за повишаване на квалификацията относно МИС2 на всички служите в компанията;
  9. Годишни одити;
  10. Сигурност на човешките ресурси;
  11. Политики за контрол на достъпа и управление на активи;
  12. Многофактурни решения за удостоверяване на автентичността;
  13. Взаимодействията с трети страни.

Нарушения и санкции:

Административен орган, който не изпълни принудителна административна мярка, се наказва с глоба от 10 000 до 100 000 лв.

(2) При повторно нарушение по ал. 1 наказанието е глоба от 20 000 до 200 000 лв.

 

Наложените имуществени санкции на съществените и важните субекти съгласно настоящия член във връзка с нарушения на закона, са ефективни, пропорционални и възпиращи, като се вземат предвид обстоятелствата във всеки конкретен случай.

Съществен субект, който не изпълни задълженията се наказва с имуществена санкция от 200 000 лева до 2% от общия световен годишен оборот за предходната финансова година на предприятието, към което принадлежи съществения субект, но не по –малко от 20 000 000 лева.

Важен субект, който не изпълни задълженията се наказва с имуществена санкция от 100 000 лева до 1,4% от общия световен годишен оборот за предходната финансова година на предприятието, към което принадлежи важния субект, но не по-малко от 14 000 000 лева.

При нарушение на чл. 21, управителите или членовете на управителните органи на съществените и важните субекти подлежат на имуществена санкция в размер на 1000 лв. до 100 000 лв.

Принудителни административни мерки се налагат върху съществен или важен субект с цел да се преустанови нарушение на закона в съответствие с предходно решение на компетентния орган.

В случай на неизпълнение на някоя от наложените мерки се налагат периодични имуществени санкции на съществен или важен субект в размер на 5 000 лв. за всеки ден неизпълнение.

Ако имате въпроси или се нуждаете от съвет относно МИС 2, моля, свържете се с нас.