Парламентът прие на второ четене промени в Закона за киберсигурност, с които се въвеждат подобрените европейски изисквания във връзка с оценката на риска и докладването на инциденти. Измененията включват и текстове, свързани с ограничаването на използването на рискови технологии.
С промените в националното законодателство се въвеждат разпоредби на европейската Директива относно мерките за високо общо ниво на киберсигурност, която включва защита на мрежовите и информационните системи (МИС) или т.нар. Директива МИС 2.
Към субектите, към които са насочени изискванията на закона, освен административните органи, се включват публични и частни субекти, доставчици на квалифицирани удостоверителни услуги и регистри на имена на домейни, образователни институции, когато извършват научноизследователски дейности от критично значение, и органите на съдебната власт. Според определени критерии в закона те се делят на съществени и важни субекти.
Със законопроекта се разширяват секторите на въздействие, които от осем стават 18. Включват се сектори като космическо пространство, отпадъчни води, управление на услуги в областта на информационните и комуникационните технохологии (ИКТ) между предприятия, както и критични сектори като пощенски и куриерски услуги, управление на отпадъците, производство и дистрибуция на химикали и храни, производство (на медицински изделия, компютри, електронни и оптични продукти, машини и оборудване, моторни превозни средства, ремаркета и полуремаркета), доставчици на цифрови услуги и научни изследвания.
Съществените и важните субекти уведомяват СЕРИКС (секторен екип за реагиране при инциденти с компютърната сигурност) за всеки значителен инцидент до 24 часа след установяването му, предвиждат измененията.
До 72 часа се актуализира информацията и се посочва първоначална оценка, включително за неговата тежест и въздействие, както и техническа информация за инцидента.
За доставчиците на удостоверителни услуги срокът за актуализация на информацията е 24 часа. Окончателен доклад се подава не по-късно от един месец след актуализираното уведомление.
Предвижда се Министерският съвет (МС) с постановление, прието по предложение на Съвета по киберсигурността, да може да създаде изисквания към съществените и важни субекти да използват конкретни, доказано подходящи в оперативно и икономическо отношение ИКТ продукти, ИКТ услуги и ИКТ процедури, които са разработени от тях или са придобити от трети страни, сертифицирани в рамките на европейските схеми за киберсигурност, решиха депутатите.
Въз основа на предоставена информация за резултатите от координирана на равнището на Европейския съюз оценка на риска за сигурността на критични вериги за доставка, Съветът по киберсигурността изготвя мотивирано предложение до Министерския съвет за приемане на постановление за ограничаване на използването от субектите в обхвата на закона на конкретни технологии или на критични вериги за доставка на ИКТ услуги или/и ИКТ продукти с произход от страни извън ЕС.
В случай че субектите в обхвата на закона вече използват технология, която е ограничена с постановлението на МС, те следва да преустановят използването ѝ в тригодишен срок от приемането на постановлението. В случаи на висок риск за националната сигурност, в постановлението се определя по-кратък срок, приеха депутати.
