Проект на закон за киберсигурността бе одобрен от Министерския съвет тази седмица и, макар с малко закъснение, ще изпълним ангажиментите си като държава – член на ЕС. Както е известно, такъв документ трябваше да бъде приет в срок до 9 май 2018 г. като част от организацията по изпълнението на Директива (ЕС) 2016/1148 на Европейския парламент и на Съвета от 6 юли 2016 г. относно мерки за високо общо ниво на сигурност на мрежите и информационните системи в съюза.
Директивата е първото всеобхватно законодателство в областта на мрежовата и информационна сигурност в ЕС и предоставя хармонизирана правна основа за борба с киберинцидентите в целия ЕС. Тя трябва да реши проблема с недостатъчното равнище на защита срещу инциденти, рискове и заплахи в областта на мрежовата и информационната сигурност в ЕС, което възпрепятства правилното функциониране на вътрешния пазар, да способства за преодоляването на нарастващия брой инциденти.
Като се има предвид, че мрежите и информационните системи са взаимосвързани и предвид глобалния характер на интернет много инциденти в тази област надхвърлят националните граници и подкопават функционирането на вътрешния европейски пазар. Ефектите от инцидент в някоя от страните членки, ако не е подходящо ограничен, могат бързо да се разпространят и в други страни. Дори инцидентите, които са от местно естество, могат да имат непредвидени последици – например прекъсване на информационните системи на "Летище София" може да повлияе на въздушния трафик в цяла Европа.
Законопроектът създава изцяло нова правна рамка в тази област, се отбелязва в мотивите на вицепремиера Томислав Дончев, който е вносител на документа. Чрез закона се създават условия за изграждане на ефективна система за превенция и борба с кибератаките и за ограничаване на мащаба, честотата и въздействието на инцидентите в киберпространството. С приемането на закона ще бъде установена цялостна система на координация и взаимодействие между институциите в областта на киберсигурността и правила за докладване на инциденти, които засягат административните органи, операторите на съществени услуги и доставчиците на цифрови услуги на национално равнище и между държавите членки на ЕС.
Законът е крайно необходим, тъй като към този момент няма съществуващ единен принцип на взаимодействие при киберинциденти и инциденти в мрежовата и информационната сигурност, както и цялостна система за взаимодействие на междуинституционално ниво и между държавите членки на ЕС при случаи на инцидент с трансгранично значение и измерение. Съществуващата досега нормативна уредба е ограничена само до косвено отразяване на понятията, тя е разпокъсана, има частично регламентиране за отделни субекти, които не са ясно разграничени и определени. Има отделни опити за регулация в Закона за МВР, Закона за Държавна агенция "Национална сигурност", Правилника за прилагане на Закона за Държавна агенция "Национална сигурност", в Закона за противодействие на тероризма, Закона за електронното управление, Закона за електронните съобщения, Наказателния кодекс, Наредбата за общите изисквания за мрежова и информационна сигурност и т.н.
Проектът на Закон за киберсигурност предвижда създаването на нови органи – Национално единно звено за контакт, Национален координатор по киберсигурност, секторни екипи за реакция при инциденти в киберсигурността ЕРИКС, както и Национален ЕРИКС (създаден от председателя на Държавна агенция "Електронно управление"). Предвижда се също и създаването на Националната стратегия за киберсигурност. Част от мерките е и изграждането на Съвет по киберсигурност като нещатен консултационен орган към Министерския съвет.
Глоби до 500 хил. лева
Проектозаконът предвижда глоби и имуществени санкции за неспазването на изискванията му от физически и юридически лица, които варират от 30 до 500 хил. лева. Държавната агенция "Електронно управление" ще санкционира оператори и доставчици на цифрова услуга, които не уведомят или се забавят да уведомят ЕРИКС за всеки инцидент, "който имат значително въздействие върху непрекъснатостта на предоставяните от него съществени услуги, както и когато уведомленията съдържат недостатъчна информация, която не дава възможност на ЕРИКС да определи евентуалното трансгранично въздействие на инцидента". Когато деянието не съставлява престъпление, се наказва с имуществена санкция или глоба в размер от 30 000 до 150 000 лева. При повторно нарушение наказанието е имуществена санкция или глоба в размер от 150 000 до 300 000 лева.
Предвижда се и отговорност за длъжностно лице, което извърши нарушение – глобата варира от 50 000 до 300 000 лева. Ако се установи повторно нарушение, наказанието скача до 500 000 лева.