ЗАКОН ЗА КИБЕРСИГУРНОСТ
Това е резюме на текстовете от нормативния акт, целящо лесно и бързо запознаване на потребителя с нормите в него.
Виж оригиналния текст на документа
Чл. 1
Законът за киберсигурност урежда организацията, управлението и контрола на киберсигурността, включително проекти по киберотбрана и противодействие на киберпрестъпността. Той предвижда предприемането на мерки за постигане на високо ниво на мрежова и информационна сигурност и определя правомощията и функциите на компетентните органи в тази област.
Чл. 2
Чл. 2 от Закона за киберсигурност дефинира киберсигурността като състояние на обществото и държавата, при което киберпространството е защитено от заплахи чрез прилагане на комплекс от мерки. Киберсигурността обхваща мрежова и информационна сигурност, противодействие на киберпрестъпността и киберотбрана. Мрежовата и информационна сигурност се отнася до способността на мрежите и информационните системи да се противопоставят на негативни въздействия, които могат да засегнат данните и свързаните услуги.
Чл. 3
Чл. 3 от Закона за киберсигурност определя мерките за мрежова и информационна сигурност, които са организационни, технологични и технически. Те трябва да се прилагат пропорционално на заплахите и спецификата на субектите. Минималният обхват на мерките и допълнителни препоръки се определят с наредба на Министерския съвет, като не се налага използването на конкретна технология. Наредбата не важи за определени ведомства. Субектите следва да поддържат система за управление на сигурността на информацията с минимални организационни мерки, включващи разпределение на отговорности, политика за сигурност и управление на различни аспекти на сигурността.
Чл. 4
Чл. 4 от Закона за киберсигурност определя изискванията към различни субекти, включително административни органи, оператори на съществени услуги, доставчици на цифрови услуги и организации, предоставящи обществени услуги. Операторите на съществени услуги трябва да предоставят съществени услуги, зависещи от мрежи и информационни системи, и да осигуряват мрежова и информационна сигурност. Административните органи определят операторите на съществени услуги по определени критерии и методика. При предоставяне на услуги в повече от една държава членка на ЕС, се провеждат консултации с другите държави. Операторите спазват изискванията само за предоставяните от тях услуги, а в случай на противоречие с европейски актове, се прилагат последните, при условие че изискванията им са равностойни.
Чл. 5
Законът за киберсигурност не се прилага за: 1) комуникационни и информационни системи за класифицирана информация; 2) мрежи и системи на Министерството на отбраната, Министерството на вътрешните работи и други държавни агенции, свързани с националната сигурност, които не предоставят административни услуги; 3) предприятия, предоставящи обществени електронни съобщителни мрежи и услуги, с изключения; 4) доставчици на удостоверителни услуги по Регламент (ЕС) № 910/2014; 5) доставчици на цифрови услуги, които са микро- и малки предприятия.
Чл. 6
Министърът на електронното управление е отговорен за създаването и поддържането на регистър на съществените услуги, който включва видове услуги, оператори, сфера на дейност, брой потребители и географски обхват на услугите. Списъкът на операторите се актуализира на всеки две години, а редът за водене и достъп до регистъра се определя с наредба. Регистърът не е публичен.
Чл. 7
Чл. 7 от Закона за киберсигурност определя, че системата за киберсигурност е част от националната сигурност и се управлява от Министерския съвет. За подпомагане на дейностите по киберсигурност се създава Съвет по киберсигурността. Министерският съвет е отговорен за приемането на Националната стратегия за киберсигурност и, при определени условия, и на Националната стратегия за мрежова и информационна сигурност.
Чл. 8
Националната стратегия за киберсигурност представлява стратегическа рамка, която включва основни цели, принципи и приоритети в областта на киберсигурността. Тя обхваща действия и мерки за киберсигурност, мрежова и информационна сигурност, противодействие на киберпрестъпността, киберотбрана, киберразузнаване, взаимодействие между държава, бизнес и общество, както и международно сътрудничество и кибердипломация. В допълнение, стратегията за мрежова и информационна сигурност се изготвя, когато информацията по ал. 2 от Чл. 8 не е включена в националната стратегия за киберсигурност.
Чл. 9
Съветът по киберсигурността е консултативен и координиращ орган, който е създаден към Министерския съвет за управление на въпросите, свързани с киберсигурността. Председателят на Съвета е министърът на електронното управление, а членовете му включват министри от различни области, началници на служби и представители на държавни агенции. В заседанията могат да участват и висши държавни лица, като президента и председателя на Народното събрание. Съветът има за цел да координира действията по киберсигурността и да осигури ефективна защита на националната инфраструктура.
Чл. 10
Съветът по киберсигурността извършва анализ на киберзаплахите и рисковете, предлага Национална стратегия за киберсигурност и актуализира пътната карта към нея. Той предоставя информация за състоянието на сигурността в киберпространството и работи с компетентни органи за координиране на политиките за киберсигурност. Освен това предлага Национален план за управление на киберкризи и взаимодейства със Съвета по сигурността към Министерския съвет.
Чл. 11
Член 11 от Закона за киберсигурност определя ролята на националния координатор по киберсигурността, назначаван от министър-председателя. Той отговаря за изготвянето и актуализирането на Националната стратегия за киберсигурност, участва в изграждането на националната координационно-организационна мрежа и координира действията при киберкризи. Освен това предлага мерки за оценка на заплахите и готовността за противодействие, подпомага сформирането на екипи за реакция и организира учения в областта на киберсигурността.
Чл. 12
Член 12 от Закона за киберсигурност определя задълженията на министъра на електронното управление. Той отговаря за провеждането на държавната политика в мрежовата и информационната сигурност, изготвя националната стратегия за сигурност, издава методически указания и контролира спазването на изискванията за сигурност от административните органи. Министърът също така осъществява проверки на информационната сигурност и разработва методики за оценка на съответствието с мерките за сигурност, както и организира международни и национални учения.
Чл. 13
Чл. 13 от Закона за киберсигурност определя задълженията на министъра на отбраната относно защитата и противодействието на кибератаки. Министърът организира подготовката за киберотбрана в условия на война или извънредно положение, изгражда способности за киберотбрана, координира действия с НАТО и ЕС, и работи съвместно с други министри за планиране на мерки за киберустойчивост. Определя условията за изграждане на киберрезерв, който участва в обучения и решаване на задачи в киберотбраната. Началникът на отбраната също има задължения за поддържане на киберотбрана и интегриране на задачи в стратегическото планиране.
Чл. 14
Законът за киберсигурност определя задълженията на Министерството на вътрешните работи за противодействие на киберпрестъпността, включително извършване на оперативно-издирвателна дейност, развитие на способности за киберпревенция и защита, както и разследване на компютърни престъпления. Създава се Център по киберпрестъпност и екип за реагиране при инциденти с компютърната сигурност. Предприятията, предоставящи обществени електронни съобщителни мрежи, са задължени да филтрират зловреден интернет трафик, когато е технически възможно.
Чл. 15
Чл. 15 от Закона за киберсигурност определя ролята на Държавна агенция 'Национална сигурност' в защитата от киберинциденти, свързани с комуникационните и информационните системи на стратегически обекти. Агенцията администрира Център за мониторинг и реакция на инциденти, който ще извършва мониторинг, подаване на предупреждения за киберзаплахи, оказване на методическо съдействие и анализ на информацията за сигурността. Центърът трябва да поддържа готовност за координирана реакция при инциденти и да изпълнява задачи, свързани с функциите на Агенцията. Ръководителите на стратегически обекти са длъжни да реагират на уведомления от Агенцията, като филтрират или преустановяват зловредния интернет трафик.
Чл. 16
Чл. 16 от Закона за киберсигурност определя ролята на националните компетентни органи по мрежова и информационна сигурност, които координират и контролират дейностите на административните органи, операторите на съществени услуги и доставчиците на цифрови услуги. Министерството на електронното управление е националният компетентен орган за всички административни органи. Тези органи имат право да изискват информация и доказателства за сигурността, да дават указания за отстраняване на пропуски и да сътрудничат с други институции, включително органите за защита на личните данни. Те трябва да разполагат с необходимите ресурси за ефективно изпълнение на задачите си.
Чл. 17
Чл. 17 от Закона за киберсигурност описва създаването и функциите на Националното единно звено за контакт, което е част от Министерството на електронното управление. Звеното координира въпросите, свързани с мрежовата и информационната сигурност, както и трансграничното сътрудничество с органи от други държави-членки на ЕС. То предоставя информация на Европейската комисия на всеки две години относно операторите на съществени услуги и техните характеристики. При трансгранични инциденти, звеното уведомява съответните органи на другите засегнати държави. Звеното защитава търговските интереси и поверителността на операторите на съществени услуги. Освен това, то представя годишен доклад за инцидентите и предприетите действия, а също така може да изисква информация от националните компетентни органи и екипите за реагиране при инциденти.
Чл. 18
Член 18 от Закона за киберсигурност регламентира създаването и функционирането на секторни екипи за реагиране при инциденти с компютърната сигурност. Тези екипи, създадени от административните органи, включително Министерството на електронното управление, трябва да разполагат с надеждни комуникационни канали, да действат в защитени зони и да осигуряват непрекъснатост на дейността си. Основните им задължения включват наблюдение на инциденти, подаване на предупреждения, реакция при инциденти и анализ на рисковете. Екипите сътрудничат с частния сектор и академичните среди, насърчават стандартни практики и информират Националния екип за киберсигурност за инциденти със значително въздействие.
Чл. 19
Чл. 19 от Закона за киберсигурност предвижда създаването на Национален екип за реагиране при инциденти с компютърната сигурност, който е част от Министерството на електронното управление. Екипът има множество функции, включително да действа като контактно звено за мрежова и информационна сигурност, да подпомага създаването на секторни екипи, да анализира информация и да предоставя съвети на органите на властта. Освен това, той участва в международни мрежи за сътрудничество и оказва експертна подкрепа на административните органи.
Чл. 20
Чл. 20 от Закона за киберсигурност описва структурата и механизмите за координация на киберсигурността в България. На стратегическо ниво, Съветът по киберсигурността работи в тясно сътрудничество със Съвета по сигурността към Министерския съвет, а Националният координатор осигурява връзка между стратегическото ръководство и оперативната координация. Министерството на електронното управление е отговорно за изграждането на Националната координационно-организационна мрежа и Националния киберситуационен център, в партньорство с други държавни институции. При инциденти или компютърни престъпления се създават звена за контакт между ведомствата, а министърът на електронното управление може да формира оперативни групи за реакция. Международното сътрудничество се осъществява чрез Групата за сътрудничество и мрежата на националните екипи за реагиране.
Чл. 21
Чл. 21 от Закона за киберсигурност определя задълженията на административните органи относно сигурността на мрежите и информационните системи. Те са длъжни да предприемат пропорционални мерки за осигуряване на мрежова и информационна сигурност, да реагират на инциденти и да уведомяват секторния екип за инциденти, които засягат непрекъснатостта на дейността им. Първоначалното уведомление за инцидент трябва да бъде направено до два часа след констатирането му, а пълната информация - в срок до 5 работни дни. При съмнение за компютърно престъпление, секторният екип уведомява съответните органи. Информацията в уведомленията остава конфиденциална.
Чл. 22
Лицата и организациите, предоставящи административни услуги по електронен път, са задължени да осигуряват мрежовата и информационната си сигурност. Те трябва да уведомяват секторния екип за реагиране при инциденти с компютърната сигурност за инциденти, които влияят на непрекъснатостта на услугите. Секторният екип защитава търговските интереси и поверителността на информацията в уведомленията.
Чл. 23
Операторите на съществени услуги са задължени да предприемат мерки за осигуряване на мрежова и информационна сигурност, съобразени с рисковете. Те трябва да предотвратяват инциденти и да минимизират тяхното въздействие, за да осигурят непрекъснатост на услугите. Операторите уведомяват секторния екип за инциденти, които влияят на услугите, и също така уведомяват доставчиците на цифрови услуги при значителни инциденти. Секторният екип запазва търговските интереси и поверителността на информацията.
Чл. 24
Чл. 24 от Закона за киберсигурност определя задълженията на екипа за реагиране при инциденти с компютърната сигурност. Според алинея 1, екипът е задължен да предостави информация на подалите уведомление за инцидент, свързана с последващите действия, включително информация, която може да помогне за ефективно реагиране. Алинея 2 позволява на екипа да информира обществеността за инциденти, когато е необходимо за предотвратяване или справяне с инцидент.
Чл. 25
Доставчиците на цифрови услуги в България са задължени да предприемат технически и организационни мерки за управление на рисковете за сигурността на мрежите и информационните системи, които използват. Те трябва да осигурят непрекъснатост на предоставяните услуги, да уведомяват секторния екип за инциденти с компютърната сигурност при съществени инциденти и да оценяват въздействието на инцидентите. Информацията за инцидентите трябва да се предоставя само при наличие на необходимата информация. Секторният екип може да информира обществеността за инциденти, когато е необходимо, като запазва търговските интереси и поверителността на доставчика.
Чл. 26
Чл. 26 от Закона за киберсигурност определя задълженията на доставчиците на цифрови услуги, които имат представителство в България, но оперират от друга държава - членка на ЕС. Тези доставчици трябва да си сътрудничат с националните компетентни органи за киберсигурност. В случай, че доставчикът не е установен в ЕС, той трябва да назначи представител в ЕС, който да бъде под юрисдикцията на страната, в която предлага услугите. Назначаването на представител не пречи на съдебните производства срещу самия доставчик.
Чл. 27
Чл. 27 от Закона за киберсигурност регламентира правото на субекти, които не са посочени в чл. 4, ал. 1, да уведомяват секторните екипи за реагиране при инциденти с компютърната сигурност за инциденти, влияещи на непрекъснатостта на услугите им. Уведомленията от субектите по чл. 4, ал. 1 имат предимство при обработка, а уведомленията по ал. 1 се разглеждат само при условие, че не представляват несъразмерна тежест.
Чл. 28
Законът предвижда административни наказания за органи и лица, които не уведомят секторния екип за реагиране при инциденти с компютърната сигурност в установените срокове или не предоставят достатъчно информация. Глобите варират от 1000 до 10 000 лв. за първо нарушение и от 2000 до 20 000 лв. за повторно нарушение. Имуществените санкции за организации, предоставящи административни услуги, варират от 1500 до 15 000 лв. за първо нарушение и от 5000 до 25 000 лв. за повторно нарушение.
Чл. 29
Чл. 29 от Закона за киберсигурност предвижда санкции за административни органи и оператори на услуги, които не изпълняват задълженията си за предоставяне на информация и доказателства. При първо нарушение, глобите са между 1000 и 10 000 лв. За повторни нарушения, глобите се увеличават до между 2000 и 20 000 лв. Операторите на съществени услуги подлежат на същите санкции, но с възможност за имуществена санкция, която варира от 1500 до 15 000 лв. При повторно нарушение, имуществената санкция може да достигне до 25 000 лв. Доставчици на цифрови услуги също подлежат на санкции при невъзможност да предоставят информация или да отстранят пропуски.
Чл. 30
Длъжностни лица, извършили или допуснали нарушения по глава втора на Закона за киберсигурност, подлежат на глоба от 1000 до 10 000 лв., освен ако действието не е престъпление. При повторно нарушение глобата е от 1500 до 15 000 лв. Лица, които не изпълнят задължения по определени членове, също подлежат на глоба от 1000 до 10 000 лв. или имуществена санкция от 1500 до 15 000 лв.
Чл. 31
Законът за киберсигурност регламентира установяването на нарушения и наказания, свързани с киберсигурността в България. Актовете за установяване на нарушения се съставят от определени длъжностни лица в зависимост от вида на нарушението, а наказателните постановления се издават от различни органи, включително министъра на електронното управление и министъра на вътрешните работи. Законът също така въвежда изискванията на европейски директиви и предвижда мерки за защита на критични инфраструктури, осигурявайки високо ниво на сигурност на мрежите и информационните системи. В допълнение, законът определя специфични термини, като „киберинцидент“, „киберзаплаха“, „съществени услуги“ и други, които са ключови за разбирането на киберсигурността и нейната регулация в страната. Преходните и заключителни разпоредби предвиждат срокове за изпълнение на задълженията на административните органи и изменения в свързани закони.
Чл. 2, ал. 1, чл. 9, ал. 1, 2 и 3, чл. 10
Законът за киберсигурност регламентира мерките за защита на мрежите и информационните системи в Европейския съюз. В него се определят доставчиците на основни услуги, свързани с питейната вода и цифровата инфраструктура, включително точки за обмен в интернет, DNS услуги и регистри на домейни. Законът се основава на директиви и регламенти на ЕС, които целят повишаване на общото ниво на киберсигурност. Включени са и разпоредби за видовете цифрови услуги, като онлайн търговия, търсачки и облачни услуги.
§1
Законът за киберсигурност въвежда изискванията на Директива (ЕС) 2016/1148, която се отнася до мерки за осигуряване на високо ниво на сигурност на мрежите и информационните системи в Европейския съюз.
§2
Законът за киберсигурност предвижда мерки за прилагане на Регламент (ЕС) 2018/151 на Комисията, който определя правила за изпълнение на Директива (ЕС) 2016/1148. Тези правила касаят управлението на рисковете за сигурността на мрежите и информационните системи от доставчиците на цифрови услуги, както и показателите за оценка на инцидентите с съществено въздействие.
Параграф §3
Параграф §3 от Закона за киберсигурност определя ключови термини, свързани с киберсигурността, включително "административен орган", "група за сътрудничество", "действия при инцидент", "доставчик на DNS услуги", "зловреден интернет трафик", "инцидент със значително увреждащо въздействие", "кибератака", "киберзаплаха", "киберинцидент" и други. Законът подчертава важността на мерките за защита, реагиране на инциденти и класификация на инциденти по приоритети, както и определя съществени услуги и рискове, свързани с киберсигурността.
§4
Министерският съвет е задължен да предприеме следните действия след влизането в сила на Закона за киберсигурност: 1. В срок до два месеца да определи административните органи по чл. 16, ал. 1 и да приеме методиката по чл. 4, ал. 3; 2. В срок до 6 месеца да приеме наредбата по чл. 3, ал. 2.
§ 5
Административните органи, съгласно чл. 16, ал. 1, трябва да създадат национални компетентни органи и секторни екипи в срок до два месеца след решението по § 4, т. 1 и да приведат правилниците си в съответствие със закона. В срок до 5 месеца от решението те трябва да определят операторите на съществени услуги и да уведомят председателя на Държавна агенция "Електронно управление". Държавната агенция трябва да създаде секторен екип и да приведе правилника си в съответствие със закона в срок до 4 месеца от влизането в сила на закона.
§6
В Закона за електронните съобщения е направена промяна в чл. 243б, ал. 4, където след думата "съобщенията" се добавя "и Националния екип за реагиране при инциденти с компютърната сигурност по чл. 19, ал. 1 от Закона за киберсигурност". Това добавя отговорността на Националния екип за реагиране при инциденти с компютърната сигурност в контекста на електронните съобщения.
§7
Параграф §7 от Преходните и Заключителни разпоредби към Закона за киберсигурност внася изменение в чл. 16, ал. 3 на Закона за електронната търговия. В края на алинеята се добавя текст, който подчертава необходимостта комуникацията по време на кибератака, киберинцидент или киберкриза да се осъществява по електронен път, с достатъчно надеждна защита, в контекста на бързината и неотложността на ситуацията.
§8
Параграф §8 внася изменения и допълнения в Закона за електронното управление. Отменят се определени точки и се заменят термини, свързани с мрежовата и информационна сигурност. Създава се нова точка, която отразява правомощията по Закона за киберсигурност. Допълнителните разпоредби също се актуализират, като понятието за мрежова и информационна сигурност се свързва с определенията в Закона за киберсигурност.
§9
В §9 от Преходните и Заключителни разпоредби на Закона за киберсигурност се предвижда изменение в Закона за управление и функциониране на системата за защита на националната сигурност. По-конкретно, в чл. 9, т. 1, буква "ж" се заменят думите "информационната сигурност" с "мрежовата и информационната сигурност".
§ 10
В преходните и заключителните разпоредби на Закона за изменение и допълнение на Изборния кодекс, в § 145, ал. 14, т. 27, се извършва замяна на текста относно Закона за електронното управление с новия Закон за киберсигурност. По-конкретно, изразът "чл. 43, ал. 2 от Закона за електронното управление" се заменя с "чл. 3, ал. 2 от Закона за киберсигурност".
§ 11
С §11 от Преходните и заключителните разпоредби на Закона за киберсигурност, в Закона за мерките срещу изпирането на пари, датата "1 октомври 2018 г." е заменена с "31 януари 2019 г." в § 9 от преходните и заключителните разпоредби. Тази промяна влиза в сила от 01.10.2018 г.
§14
Параграф §14 от Закона за киберсигурност уточнява, че член 15, алинеи 3, 4 и 5, както и член 18, алинея 9, точка 2 и алинея 10, влизат в сила на 31 декември 2023 г. Параграф 11 влиза в сила от 1 октомври 2018 г. Законът е приет от 44-то Народно събрание на 31 октомври 2018 г. и е официално удостоверен с печата на Народното събрание. Включени са и заключителни разпоредби, свързани с измененията на Закона за военното разузнаване, обнародвани в ДВ, бр. 69 от 2020 г.
§36
В преходните и заключителни разпоредби на Закона за киберсигурност е предвидена замяна на термина "Служба 'Военна информация'" с "Служба 'Военно разузнаване'" във всички текстове на закона. Тази промяна е част от измененията, свързани с Закона за Министерството на вътрешните работи, който е обнародван в Държавен вестник, брой 85 от 2020 г. и влиза в сила от 02.10.2020 г.
§ 13
Законът за киберсигурност влиза в сила на 1 януари 2021 г., с изключения: параграфи 1, 3, § 4, т. 1 и § 10 влизат в сила на 1 ноември 2020 г.; параграф 2, § 4, т. 2 и § 11 и 12 влизат в сила от деня на обнародването на закона в "Държавен вестник". Преходни и заключителни разпоредби се отнасят и за закона за изменение и допълнение на закона за електронното управление, който е обнародван на 22.02.2022 г.
§14
В Закона за киберсигурност се извършват изменения, свързани с наименованията на органите, отговорни за електронното управление. Думите "председателя на Държавна агенция 'Електронно управление'" и "Държавна агенция 'Електронно управление'" се заменят с "министъра на електронното управление" и "Министерството на електронното управление". Също така, изразът "председателят на Държавна агенция 'Електронно управление'" се заменя с "министърът на електронното управление".
§29
Законът за киберсигурност влиза в сила от деня на обнародването му в "Държавен вестник". Преходните и заключителни разпоредби се отнасят и към Закона за изменение и допълнение на Закона за пазарите на финансови инструменти, който е обнародван в Държавен вестник, брой 25 от 2022 г. и влиза в сила от 29.03.2022 г.
§ 94
Законът за киберсигурност влиза в сила от деня на обнародването му в "Държавен вестник", с изключение на определени разпоредби, които влизат в сила от 19 октомври 2022 г. Приложение № 1 съдържа списък на секторите и подсекторите, които са обект на закона, включително енергетика, транспорт, банково дело, инфраструктури на финансовия пазар, здравеопазване, доставка на питейна вода и цифрова инфраструктура. Приложение № 2 описва видовете цифрови услуги, които също попадат под регулацията на закона. Законът се основава на директиви и регламенти от Европейския съюз, свързани с киберсигурността.
