Относно: Становище по проект на Закон за изменение и допълнение на Закона за киберсигурност, сигн. №51-402-01-17, внесен на 12.12.2024 г., от Министерския съвет
УВАЖАЕМИ ГОСПОДИН НАНКОВ,
По повод цитирания законопроект, предоставяме на Вашето внимание следното становище:
I. Принципни бележки
Изразяваме загриженост, че предложените законодателни промени надвишават разполагаемите ресурси и капацитет на общините, особено на по-малките общини. Общините по силата на Директива (ЕС) 2022/2555 (Директива МИС 2) са квалифицирани като съществени субекти на закона, поради обстоятелството, че са административни органи. В допълнение, общините пряко чрез общински предприятия по чл. 51, ал. 1 от Закона за общинската собственост или непряко чрез търговски дружества с общинско участие в капитала, изпълняват дейности по Приложение 1 и Приложение 2 от законопроекта – това са дейности в сферата на обществения транспорт на пътници, водоснабдяването и управлението на отпадъците. Т.е. общините следва да съблюдават нивото на киберсигурността и в тези стопански структури.
Прегледът на предвидените в законопроекта изменения и допълнения дава ясна представа за тяхното отражение върху правомощията на общините и необходимостта от законово гарантиране на ресурсна подкрепа за общините от страна на държавата:
- 1-5: Разпоредбите обхващат изменения в основните дефиниции и обхват на закона, включително въвеждането на термина "киберсигурност" и промяна в дефинициите за "съществени субекти" и "важни субекти". Общините като административни органи са задължени да осигуряват мерки за киберсигурност по същия начин като частните компании, предоставящи критични услуги.
- 6-10:
- Промени в правомощията на националните компетентни органи, свързани с управлението на инциденти и мониторинг на киберсигурността на съществени и важни субекти. Общините са задължени да предоставят данни за своите информационни системи и критични мрежи, както и да внедрят система за реакция при инциденти.
- Чл. 6а (въведен в § 8) въвежда специални разпоредби за секторите, в които се прилагат по-строги мерки. Общините трябва да предприемат мерки за управление на риска при киберинциденти, които са поне равностойни на тези, предвидени в закона.
- 11-15: Тези разпоредби разглеждат стратегиите за управление на киберсигурността на национално ниво. Общините трябва да следват националната стратегия.
- 16-20: Въведен е нов ред за координация между националните екипи за реагиране при киберинциденти (СЕРИКС) и местните администрации. Общините ще трябва да си сътрудничат с тези екипи при възникването на инциденти, като предоставят навременна информация и подкрепа.
- 21-25: Въвеждат се мерки за управление на риска в областта на киберсигурността и задължения за докладване. Това е ключов раздел за общините, които са задължени да внедрят технически, оперативни и организационни мерки за защита на информационните си системи и мрежи:
- Чл. 22, ал. 2: Изисква общините да разработят политики за анализ на риска, действия при инциденти и управление на веригата на снабдяване, като включват практики за киберхигиена и криптиране.
- Чл. 23: Задължава съществени и важни субекти (включително общини) да уведомяват СЕРИКС за всеки значителен инцидент в рамките на 24 до 72 часа. Неизпълнението на тези изисквания води до административни санкции.
- 26-30: Разпоредбите въвеждат нови административни мерки, като регистрация на субекти и предоставяне на данни за тяхната киберсигурност. Общините трябва да осигурят регистрирането на своите критични системи и да поддържат актуална информация за контакт с националните компетентни органи.
- 31-35: В този раздел се въвеждат нови механизми за обмяна на информация за киберзаплахи между различни субекти, включително и публичните администрации. Общините ще могат да обменят информация за киберзаплахи с други органи и субекти, но също така ще бъдат задължени да спазват високи стандарти за защита на чувствителна информация.
- 36-40 :
- Въвеждат се по-строги правила за контрол и санкции, като глобите за нарушаване на киберсигурността са значителни. Общините ще подлежат на проверки и санкции при неспазване на изискванията, включително за неправилно управление на киберрисковете.
- Чл. 27ж, ал. 1, т. 3 и т. 4: Предвиждат се планови и извънпланови проверки, одити на сигурността и достъп до данни за киберсигурност от страна на компетентните органи.
- 41-45: Преходните и заключителните разпоредби уреждат промени в други закони, имащи отношения към контролната дейност.
По-конкретно, отражението на предвидените промени върху дейността на общините може да бъде представено по следния начин:
- Чл. 4, ал. 1: Общините са административни органи и попадат в обхвата на законопроекта на общо основание.
- Чл. 6, ал. 1: Общините подлежат на регистриране в регистър на субектите по законопроекта.
- Чл. 22: Общините трябва да приемат мерки за управление на киберрисковете.
- Чл. 23: Общините са задължени да спазват процедура по докладване на значителни киберинциденти, вследствие на която за тях могат да възникнат определени допълнителни задължения.
- Чл. 24: От общините може да се изиска да използват конкретни, доказано подходящи в оперативно и икономическо отношение ИКТ продукти, ИКТ услуги и ИКТ процедури, по ред и условия, предвидени в законопроекта.
- „Глава втора „в“ Контрол (чл. 27е – 27о) и чл. 28 и 29: Общините подлежат на контролни планови и извънпланови проверки, и на редовни и целеви одити от националните органи за киберсигурност. Респективно общините са адресати на техните препоръки, чието изпълнение е за сметка на техните бюджети и разбира се отговорните длъжностни лица и субекти носят административно-наказателна отговорност - глоби и имуществени санкции в значително завишени минимални и максимални граници. Общините подлежат на същите правила за проверки и санкции като частните оператори, когато изпълняват функции, свързани с критични обществени услуги.
В обобщение, според предвидените промени общините се натоварват с функции в сферата на:
- Мониторинг на сигурността – общините ще трябва да следят за потенциални киберзаплахи и да осъществяват непрекъснат контрол върху информационните системи, които администрират.
- Сътрудничество с националните екипи за реагиране при инциденти – общините ще трябва да координират действията си с националните екипи и да докладват за инциденти, които могат да засегнат местната критична инфраструктура.
- Уведомление при инциденти – законът задължава общините да уведомяват националните компетентни органи за инциденти, които биха могли да имат значителни последствия върху сигурността на местните публични услуги.
Сложността на новите задължения и изисквания за координация между националните екипи за реагиране при инциденти и местните администрации налага засилена координация. По-голямата част от общините нямат достатъчно практически опит в изготвянето и прилагането на политики и мерки за киберсигурност и ще се нуждаят от значителна техническа и методологическа подкрепа от компетентните органи на централната изпълнителна власт. Считаме, че на съвременния етап от развитието на ИКТ и изключително разнообразните и полезни възможности, които тези технологии предлагат, създаването на обща платформа за обмен на информация, обучения и разработване на насоки за работа в случай на киберинциденти ще улесни значително взаимодействието между общините и структурите на национално ниво.
Подчертаваме, че въвеждането на новите за общините задължения за управление на киберрисковете ще доведе до ресурсно (финансово, административно, кадрово и др.) натоварване за общините, особено за по-малките от тях. Разработването на специфични мерки за киберсигурност, интеграцията на нови технологии, провеждането на обучения на персонала и управлението на киберинциденти по принцип изисква значителни инвестиции за която и да е организация. Ясно е, че финансови средства за осигуряване на всичко това не са налични към момента в бюджетите на общините. По тази причина е наложително законопроектът недвусмислено да ангажира държавата с трайно осигуряване на необходимата финансова подкрепа на общините, особено за малките общини. Още повече, че поради липсата на собствен административен капацитет и без гарантирана от държавата ресурсна подкрепа (финансова, методическа и др.) общините ще бъдат принудени да сключват договори при пазарни цени с външни доставчици на специфични ИКТ услуги по разработване, адаптиране и мониториране на политика за киберсигурност.
Изискванията за управление на киберрисковете, предвидени в чл. 22 от проекта (технически, оперативни и организационни мерки), са труднопостижими за общини с по-малък капацитет. НСОРБ предлага тези изисквания да бъдат адаптирани и балансирани според размера и сложността на информационните системи на общината. Малките общини трябва да имат възможност да прилагат по-облекчени мерки за киберсигурност, като това разбира се не бива да компрометира цялостната им киберзащита.
НСОРБ предлага в ПЗР да се определи подходящ гратисен период за прилагане на новите мерки от административните органи, вкл. общините, който ще бъде от полза особено за малките общини, които не разполагат с нужните ресурси. Считаме, че преходен срок от поне 12 месеца би позволил на общините да планират и осигурят по бюджетите си необходимите средства и да създадат необходимата вътрешна организация за внедряване на мерките.
II.Конкретни предложения
- По § 25
В чл. 22, ал. 1, в края на изр. първо се поставя запетая и се добавя следното:
„като мерките се адаптират според размера и сложността на информационните системи на съответните субекти“.
Мотиви: Предложението цели да адресира ресурсните ограничения на малките общини. Мерките за киберсигурност трябва да бъдат пропорционални на ресурсите и капацитета на съответните субекти. Малките общини не разполагат с достатъчно технически и финансови ресурси за внедряване на сложни и скъпи технологии за киберсигурност. Адаптирането на мерките според възможностите на общините ще осигури ефективно прилагане на закона, без да се компрометира нивото на тяхната киберсигурност.
- По § 30 и § 31 относно чл. 28, 29 и 30.
На база мотивите посочени в принципните бележки, предлагаме минималните и максималните прагове на предвидените санкции да бъдат съобразени със спецификата и възможностите на общините като административно-териториални единици, в които се упражнява местната изпълнителна власт и местното самоуправление.
Мотиви: Директива МИС 2 установява завишена рамка на нивото на киберсигурност в Европейския съюз, като предвижда задължения за държавите-членки да въведат механизми за санкции при неспазване на изискванията за киберсигурност. Според директивата размерът на санкциите следва да се определи в националното законодателство в зависимост от тежестта на нарушението и конкретните обстоятелства на неговото извършване, като глобите и имуществените санкции трябва да бъдат значителни, за да гарантират спазването на директивата. Директивата не урежда въпроси, свързани с размера на санкциите, тя изисква санкциите да бъдат ефективни и възпиращи. Посоченото обаче по никакъв начин не противоречи на възприемането на подход в закона, при който размерът на глобите да се определя в зависимост от правните традиции и практика на държавата-членка, при спазване изискванията на директивата. Т.е. според условията на обществено-икономическата среда в България е напълно реалистично и обосновано да се въведат по-ниски и приемливи за всички субекти размери на предвидените санкции.
- В Преходните и заключителните разпоредби се създават следните нови параграфи:
3.1. „§ … (1) Общините организират прилагането на мерките по чл. 21 и чл. 22, в срок до 12 месеца от влизането в сила на този закон.
(2) В срока по ал. 1 общините изготвят и представят за одобрение в Министерството на електронното управление планове за действие за внедряване на мерките по чл. 21 и чл. 22, предвиждащи поетапно внедряване на технически, оперативни и организационни мерки за сигурност.“
Мотиви: Общините, особено по-малките, се нуждаят от повече време, ресурси и методическа помощ за прилагането на новите мерки. Гратисният период ще улесни процеса на тяхното нормално внедряване.
3.2. „§ … (1) В срок от 6 месеца от влизането в сила на този закон, Министерството на електронното управление създава единна национална платформа за обмен на информация и добри практики в областта на киберсигурността.
(2) Платформата предоставя на съществените и важни субекти:
- Методически материали по внедряване и надграждане на мерки по чл. 21 и 22, вкл. действия при киберинциденти;
- Инструменти и ресурси за обучение на персонала;
- Консултации с националните компетентни органи по киберсигурност;
- Обмен на опит и решения по практически казуси.
(3) Администрирането на платформата се извършва от Министерството на електронното управление.
Мотиви: Създаването на единна национална платформа за обмен на информация и обучение ще улесни комуникацията между общините и националните органи по киберсигурност, като същевременно ще предостави необходимите ресурси и подкрепа за внедряване на мерките.
3.3. „§ … (1) Ежегодно в държавния бюджет на Република България се включват целеви разходи за внедряване и надграждане от административните органи на мерките по чл. 21 и 22.
(2) Условията и редът за предоставяне на средствата по ал. 1, се определят с наредба, приета от Министерския съвет по предложение на министъра на електронното управление.“
Мотиви: Осигуряване на необходимите средства на административните органи, вкл. на общините, за изпълнение на задълженията им по новите завишени изисквания за достигане и поддържане на високо ниво на киберсигурност. Особено важно е общините да получат целево финансиране за технологии, обучение и поддръжка, за да могат да отговорят на изискванията на европейското и националното законодателство.
Като се надяваме, че предложенията ни ще бъдат взети под внимание при процедирането на законопроекта, оставам
С уважение,