По стар български обичай, когато влизаме в чужд дом, винаги първо се събуваме. От уважение, а и най-вече – такъв е редът, за да не оставим нетрайни, но все пак мръсни следи с обувки те си. Но ако домакинът не се е подготвил с пантофи, рискуваме да стоим боси на студения под. Такава е асоциацията с приетите промени в Закона за киберсигурността – мащабен опит България да въведе подобрените европейски изисквания във връзка с оценката на риска и докладването на инциденти, като ограничи използването на рискови технологии.
С промените в националното ни законодателство се „пренася“ европейската Директива относно мерките за високо общо ниво на киберсигурност, която включва защита на мрежовите и информационните системи (МИС) или т. нар. МИС 2. В нея се изисква всяка държава членка да приеме национална стратегия за киберсигурност, включваща веригите на доставки, управление на уязвимостта, образование и осведоменост.
Разширяват се и секторите на въздействие – от 8 стават 18 – т.е. увеличават се повече от двойно. Включват се сектори като космическо пространство, отпадъчни води, управление на услуги в областта на информационните и комуникационните технохологии (ИКТ) между предприятия, както и пощенски, куриерски услуги, управление на отпадъците, производство и дистрибуция на химикали и храни, производство на медицински изделия, компютри, електронни и оптични продукти и други.
На теория всичко звучи като безспорен напредък. И така трябва да е – статистиката е достатъчно красноречива – трябва да се действа, защото глобалните щети от киберпрестъпността са достигнали около 9 трилиона евро, като най-честите мишени в ЕС са обществените, цифровите и финансовите услуги, транспортът и производството.
На практика обаче „голямото събуване“ тепърва започва.
По време на гласуването на промените в закона, Ангел Славчев от “Възраждане”, който предварително поиска тази точка да отпадне с мотива, че ИТ-секторът не е готов за тези промени, коментира, че те са свръхрегулация за бизнеса и ще трябва да се инвестират милиарди. Колегата му Цончо Ганев обяви, че се разглежда лобистки закон, който има една единствена цел – да бъдат изгонени от България всички китайски компании за телекомуникационно оборудване.
Славчев припомни, че от “Възраждане“ провели специална конференция за законопроекта с ИТ-компаниите миналата година, като браншът бил против приемането му. Опасностите, за които сигнализирали фирмите тогава били, че няма да има достатъчно хора, които да прилагат по-строгите регулации.
Дискусията тогава, а и преди няколко дни (5 февруари) се проведе на фона на висящата от есента на 2024 г. наказателна процедура на Европейската комисия по приемане на новите правила срещу киберзаплахите.
И докато забавянето, преди година и половина, минаваше с оправданието за политическа нестабилност, с идването на редовен кабинет това не трябваше да е проблем. Така през февруари на 2025 г. депутатите приеха на първо четене текстовете на директивата, и дадоха максималния срок от 28 дни за предложения между първо и второ четене.
Какво се оказа? Предложенията за промени са съпроводени с критики и то не само от страна на депутати, а и от бизнеса.
В свое становище, изпратено към законопроекта, от “Сдружение за модерна търговия” отбелязват, че има разлики в някои от текстовете в сравнение с предварително предложения от Министерски съвет законопроект, преминал през обществено обсъждане. Пример за това е променената формулировка от Приложение 2 към чл. 4, ал. 1, т. 2 (Производство, преработка и разпространение на храни).
Уловката е следната – преминалият през обществено обсъждане текст гласи, че „предприятие за производство на храни е всяко предприятие със или без стопанска цел, обществено или частно, което се занимава с дистрибуция на едро и индустриално производство и преработване”.
С внесения в Народното събрание законопроект е извършена съществената промяна, неотговаряща на Директива МИС 2 – „предприятие за производство на храни означава всяко предприятие със или без стопанска цел, обществено или частно, което извършва някоя от дейностите, свързани с който и да било етап на производство, преработка и разпространение на храни”.
Накратко – увеличава се неведението кой реално попада в обхвата на директивата.
Становища са изпратили и от Българската асоциация на музикалните продуценти, “Асоциация на длъжностните лица по защита на данните”, Държавната комисия по сигурността на информацията (ДКСИ), Българска асоциация по киберсигурност и други, в това число и министерства. И всички те набелязват конкретни пропуски и явни своеволия.
Пример е позицията на “Асоциация на длъжностните лица по защита на данните”, които предупреждават, че в проектозакона в допълнителните разпоредби се правят изменения на това що е то “административен орган”. Промените гласят, че това е орган, който принадлежи към системата на изпълнителната власт. Тази редакция обаче не отговаря на дефиницията, заложена в административнопроцесуалния кодекс и съответно не е законосъобразна.
И тук стигаме до най-важния проблем – налагат се много повече изисквания от очакваните, за които принципно е имало предупреждения, че трудно ще бъдат приложени поради недостатъчния брой хора, а сега се вменяват и нови функции на министерства и агенции, които са в противоречие със законите, с които те са създадени, какъвто е например случаят с МВР, Министерството на отбраната и ДАНС.
“Директивите ясно казват кой е виновен. Ама кой ще осигури бюджета, за да се случат тези неща, за които става дума? Има нужда наистина от нещо допълнително към закона, което да води останалата част от администрацията, за да знае как да ги изпълни тези директиви”, заяви на дискусията, организирана от “Възраждане” миналата година заместник-кметът на София по дигитализация Иван Гойчев
Чуха се и опасения, че промените ще превърнат киберсигурността от щит в инструмент за наблюдение, нещо, което напомня на песента, свързана със „замесените“ – „Лош човек с добри намерения“ – “със мене – зле, без мен – по-зле, няма спасение…”!
