Часовникът вече тиктака -  кои изисквания за киберсигурност по новия Закон за киберсигурността се прилагат за Вашия бизнес?

Факти:

На 28 ноември 2022 г. Съветът на Европейския съюз обяви, че е приел Директивата относно мерките за постигане на високо общо ниво на киберсигурност в целия Съюз и за отмяна на Директива (ЕС) 2016/1148 („Директива МИС2“ или „МИС2“).

В отговор на това България предприе действия по транспониране на директивата чрез Законопроект за изменение и допълнение на Закона за киберсигурността, който на 05 февруари 2026 беше окончателно приет на второ четене и се очаква в най‑скоро време да бъде обнародван в Държавен вестник. Законът ще определи по-строги задължения в областта на киберсигурността за управление на риска, докладване и обмен на информация.

В какво се състоят по-съществените промени в закона?

Законът задължава съществените и важните субекти да предприемат подходящи и пропорционални технически, оперативни и организационни мерки за управление на рисковете за сигурността на мрежовите и информационните системи, които тези субекти използват при своите операции или при предоставяне на своите услуги, както и за предотвратяване или свеждане до минимум на въздействието на инцидентите върху получателите на техните услуги и върху други услуги. Мерките следва да се основават на подход, обхващащ всички опасности, и да включват следното:

• политики за анализ на риска и сигурност на информационните системи
• действия при инциденти
• непрекъснатост на стопанската дейност, например управление на съхраняването на резервни копия на данните и възстановяване след бедствия, и управление на кризи;
• сигурност на веригата за доставка, включително свързани със сигурността аспекти относно взаимовръзките между всеки субект и неговите преки снабдители или доставчици на услуги
• сигурност при придобиването на мрежови и информационни системи, разработване и поддръжка, включително предприемане на действия при уязвимости и оповестяването им;
• политики и процедури за оценяване на ефективността на мерките за управление на риска в областта на киберсигурността;
• основни киберхигиенни практики и обучение в областта на киберсигурността;
• политики и процедури относно използването на криптография и, когато е целесъобразно, криптиране;
• сигурност на човешките ресурси, политики за контрол на достъпа и управление на активи;
• използването на многофакторни решения за удостоверяване на автентичността или непрекъснато удостоверяване на автентичността, защитени гласови, видео и текстови съобщения и защитени системи за спешна комуникация в рамките на субекта, когато е целесъобразно;
• управление на измененията;
• мерки за управление на риска в областта на киберсигурността и задължения за докладване.

Организациите следва да адаптират своите мерки за киберсигурност, като прилагат рисково-базиран подход въз основа на своя размер, степента на излагане на рискове и потенциалното обществено и икономическо въздействие на инцидентите.

Кои сектори и субекти са засегнати?

Българският Закон за изменение и допълнение на Закона за киберсигурността разширява обхвата на субектите, които подлежат на задължения за киберсигурност, като привежда националния обхват в съответствие със секторите, изброени в Директива МИС2. В допълнение към секторите, обхванати от предишния законодателен акт (Енергетика, Транспорт, Банково дело, Здравеопазване, Снабдяване и дистрибуция на питейна вода, Цифрова инфраструктура), в обхвата на МИС2 попадат редица нови сектори, а именно Космическо пространство, Публична администрация, Пощенски и куриерски услуги, Отпадъчни води и Управление на отпадъци, Производство на определени критични продукти (т.е. фармацевтични продукти, медицински изделия, химикали) и производство, преработка и разпространение на храни.

Важно е да се отбележи, че измененият закон въвежда правилото за размер на предприятието. В обхвата му ще попаднат всички средни и големи предприятия, упражняващи дейност в изброените сектори.

Какво следва да направите, ако организацията Ви попада в обхвата на новия закон?

Първата и най-критична стъпка за всеки субект е внимателно да прецени дали отговаря на изискванията за съществен или важен субект съгласно новото законодателство. При тази оценка следва да се вземат предвид естеството на предоставяните услуги, неговият размер и оперативен мащаб и не на последно място – ролята му в критични обществени или икономически функции.

Ако предприятието се счита за попадащо в обхвата, неговият управителен орган ще носи пряка отговорност за управлението на киберсигурността. Това включва преглед, разработване и одобрение на вътрешни процедури, процеси и мерките за управление на риска, надзор над тяхното изпълнение и осигуряване на постоянно съответствие. Съгласно закона управителният орган може да бъде подведен под отговорност за неизпълнение на тези задължения. Членовете на ръководството и служителите също така са задължени да преминат свързани с киберсигурността обучения.

Субектите са длъжни да уведомяват националните компетентни органи за всеки инцидент, свързан с киберсигурността, който оказва значително въздействие върху предоставяната от тях услуга. Важно е да се отбележи, че срокът за докладване е кратък. Когато субектите узнаят за значителен инцидент, те са длъжни да подадат ранно предупреждение без неоправдано забавяне и във всички случаи в рамките на 24 часа. Това ранно предупреждение следва да бъде последвано от уведомление за инцидент, което се подава без неоправдано забавяне и във всички случаи в рамките на 72 часа от узнаването на значителния инцидент.

Какви ще са последиците от неспазване на новото законодателство?

Компетентните национални органи ще имат право да налагат принудителни административни мерки и да налагат административни санкции. На субектите могат да бъдат наложени значителни имуществени санкции в максимален размер от най-малко 20 000 000 лв. или най-малко 2 % — която от сумите е по-голяма — от общия световен годишен оборот за предходната финансова година на предприятието, към което принадлежи същественият субект.

Какво следва?

• Изготвяне и поддържане на регистър на задължените субекти

След влизането в сила на изменения Закон за киберсигурността компетентните национални органи ще пристъпят към идентифициране на дружествата, които попадат в категориите „съществени“ и „важни“ субекти. Този процес ще включва събиране и анализ на информация за дружествата в обхванатите сектори, оценка на тяхната роля за критични обществени и икономически функции, както и преценка на размера и оперативния им мащаб. След определянето на статута им се очаква те да бъдат уведомени, а данните ще бъдат вписани в централен регистър. Този регистър ще служи като основен инструмент за надзор, планиране на проверки и отчетност по МИС2, като ще спомага за проследимост на подлежащите на регулация субекти.

• Приемане на нова наредба за минималните изисквания и мерки за защита на информационните и комуникационните системи

Ще бъде издадена нова подзаконова нормативна уредба, която детайлно ще определи конкретните технически и организационни изисквания, с които субектите следва да се съобразят. Наредбата ще въведе основните мерки за мрежова и информационна сигурност, включително управление на риска, защита и класификация на информацията, контрол на достъпа, управление на инциденти, свързани с мрежовата и информационната сигурност, както и поддържане на необходимата вътрешна документация. Този акт ще бъде ключов за практическото прилагане на закона, тъй като ще даде яснота относно начина, по който организациите трябва да изпълняват въведените задължения, и ще очертае съответните механизми за контрол от страна на компетентните органи.

Как можем да помогнем:

Нашите неизчерпателно изброени консултантски услуги включват:

• Съдействие при първоначалната оценка на това дали Вашето предприятие отговаря на изискванията за съществен или важен субект съгласно българския Закон за киберсигурност въз основа на сектора, размера и оперативната значимост.
• Предоставяне на цялостен преглед на текущите вътрешни документи и идентифициране на пропуски, ограничения или други проблеми, които ще трябва да бъдат отстранени, за да се осигури съответствие с приложимата регулаторна рамка.
• Изготвяне и/или изменение на вътрешни документи в съответствие с най-новата правна рамка на ЕС и България (включително, но не само, политика за управление на риска от трети страни доставчици, политики за докладване и т.н.).
• Предоставяне на практически, специфични за сектора насоки, съобразени със структурата, рисковия профил и оперативните нужди на Вашето предприятие, включително подкрепа при планирането на прилагането и вътрешното обучение.