Министерски съвет
Портал за обществени консултации
Законопроектът е изготвен в изпълнение на ангажиментите на Република България като държава член на Европейския съюз, която следва да въведе в националното си законодателство до 09.05.2018 г. разпоредби и да създаде организация за изпълнението на Директива (ЕС) 2016/1148 на Европейския парламент и на Съвета от 6 юли 2016 година относно мерки за високо общо ниво на сигурност на мрежите и информационните системи в съюза (ОВ, L 194 от 19 юли 2016 г.).
Директивата е първото всеобхватно законодателство в областта на мрежовата и информационна сигурност на ниво ЕС и предоставя хармонизирана правна основа за борба с кибер инцидентите в целия ЕС. Тя трябва да реши проблема с недостатъчното равнище на защита срещу инциденти, рискове и заплахи в областта на мрежовата и информационната сигурност в ЕС, което възпрепятства правилното функциониране на вътрешния пазар, да способства за преодоляването на нарастващия брой инциденти, както и с цел постигане на високо общо ниво на мрежите и информационните системи във всички сегменти на кибер пространството и на всички нива – държава, граждани, фирми и бизнес организации, доставчици и потребители на услуги.
Проектът на Закон за киберсигурност разглежда:
– организацията, управлението и контрола на киберсигурността, определянето на компетентните органи в областта на киберсигурността, както и техните функции и правомощия, регламентирането на дейностите по предприемане на необходимите мерки за постигане на високо общо ниво на сигурност на мрежите и информационните системи, като един основен стълб на киберсигурността;
– създаване на институционалната рамка в областта на киберсигурността, превенцията и противодействието на кибер атаките, насочена към по-голяма ефективност и по-добра координация между съществуващите органи и звена в публичната администрация;
– регулацията на мрежовата и информационна сигурност на административните органи, изискванията към тях да осигуряват и отговарят за мрежовата и информационната сигурност на използваните от тях информационни системи, също така изискванията и стандартите за сигурност, на които трябва да отговарят информационните системи за въвеждане, изпращане, обработка, достъп, обмен, съхраняване и архивиране на данни, както и общите мерки за сигурност, които трябва да предприемат;
– статута и функционирането на операторите на съществени услуги (ОСУ);
– националните компетентни органи (НКО), които разполагат с всички необходими правомощия и средства за оценяване на това дали операторите на съществени услуги изпълняват задълженията си;
– статута и функционирането на доставчиците на цифрови услуги (ДЦУ).
На основание чл. 26, ал. 4, изр. второ от ЗНА, срокът за провеждане на обществените консултации е 14-дневен. Определянето на по-краткия срок за обществено обсъждане на проекта се налага, поради наближаващия краен срок за транспониране на Директивата – 09.05.2018 г.
---
Пакет основни документи
Консултационен документ
---
Справка становища
---
1. Да се обмисли удачно ли е Глава първа на проекта на Закон за кибер сигурност да бъде разделена на две глави, като се създаде нова глава „Организация в областта на кибер сигурността“ (или друго подходящо заглавие), в която да се включат чл. 4, чл. 5 и чл. 7 – 17 на проекта на Закон.
2. С преходните и заключителни разпоредби на проекта на Закон за кибер сигурност с § 11. се правят промени в Закона за електронното управление, като чл. 7в, т. 1, буква г) се отменя т.е. отменя се текста, с който председателят на ДА ЕУ провежда държавната политика в областта на мрежовата и информационна сигурност. Във връзка с тези и останалите промени в ЗЕУ, направени с т. 2 и т. 3 на § 11. от преходните и заключителни разпоредби на Закона за кибер сигурност, възникват въпроси, които би трябвало да се отразят в доклада към проекта на Закона за кибер сигурност или да се отменят/променят още разпоредби на ЗЕУ, а именно:
- какво е общото и различното в дефинициите за мрежова и информационна сигурност съгласно ЗЕУ (§ 1, т. 10 от допълнителните разпоредби на ЗЕУ), Наредбата за общите изисквания за мрежова и информационна сигурност, приета на основание чл. 43, ал. 2 от ЗЕУ (§ 1, т. 3 от допълнителните разпоредби на наредбата) и съгласно проекта на Закон за кибер сигурност (§ 3, т. 20 от допълнителните разпоредби на проекта на Закон);
- какво ще бъде общото и различното по отношение на наредбата по чл. 43, ал. 2 от Закона за електронното управление (Наредба за общите изисквания за мрежова и информационна сигурност) и наредбата по чл. 18, ал. 3 на проекта на Закон за кибер сигурност по отношение на административните органи, лицата, осъществяващи публични функции и организациите, предоставящи обществени услуги, посочени както в чл. 1, ал. 1 и 2 на ЗЕУ, така и в чл. 2, ал. 1, чл. 18, ал. 3 и § 11, т. 2 и т. 3 от преходните и заключителни разпоредби на проекта на Закон за кибер сигурност. Ако в наредбата по чл. 43, ал. 2 от ЗЕУ останат разпоредбите само за оперативна съвместимост, то това също би трябвало да се отрази;
- ,азпоредбите в Hлава четвърта, раздел III (Мрежова и информационна сигурност) на ЗЕУ не се ли припокриват с тези в проекта на Закон за кибер сигурност – чл. 25, чл. 26 и др.
3. В чл. 26 се говори за класифицирани мрежи, ако това са автоматизираните информационни системи или мрежи, в които се създава, обработва, съхранява и пренася класифицирана информация по ЗЗКИ, то е необходимо тези системи или мрежи да се отразят в проекта на Закон за кибер сигурност съгласно нормативната уредба използвана по ЗЗКИ. Да се обърне внимание и на последния публикуван за обсъждане проект на ЗИД на ЗЗКИ, който внася съществени промени в разпоредбите за автоматизираните информационни системи или мрежи, като наименованието им се заменя с комуникационни и информационни системи и се допускат междусистемни връзки при определени условия със системи свързани с интернет (във връзка с определението за килер пространство) или други публични мрежи. Да се помисли и за необходимостта в проекта на Закон за кибер сигурност да се съдържат разпоредби аналогични на тези в чл. 1, ал. 3 на ЗЕУ.
4. Да се направят с преходните и заключителни разпоредби на проекта на Закона за кибер сигурност промени и в чл. 56, т. 3 и чл. 105б, ал. 1 на Закона за отбраната и въоръжените сили на Република България, като израза „киберотбрана“ се замени с „кибер отбрана“.
5. Съгласно чл. 9, т. 1, буква ж) от Закона за управление и функциониране на системата за защита на националната сигурност, Съветът по сигурността анализира състоянието на системата за защита на националната сигурност, изготвя оценки и предлага решения и действия по отношение на осигуряването и защитата на информационната сигурност от посегателства. Да се прецени необходимостта от разширение на понятието „информационна сигурност“ на „мрежова и информационна сигурност“, както и в чл. 5 на проекта на Закина за кибер сигурност да се отрази и взаимодействието на СКС със СС в областта на „мрежовата и информационна сигурност“.
1. Да се обмисли удачно ли е Глава първа на проекта на Закон за кибер сигурност да бъде разделена на две глави, като се създаде нова глава „Организация в областта на кибер сигурността“ (или друго подходящо заглавие), в която да се включат чл. 4, чл. 5 и чл. 7 – 17 на проекта на Закон.
2. С преходните и заключителни разпоредби на проекта на Закон за кибер сигурност с § 11. се правят промени в Закона за електронното управление, като чл. 7в, т. 1, буква г) се отменя т.е. отменя се текста, с който председателят на ДА ЕУ провежда държавната политика в областта на мрежовата и информационна сигурност. Във връзка с тези и останалите промени в ЗЕУ, направени с т. 2 и т. 3 на § 11. от преходните и заключителни разпоредби на Закона за кибер сигурност, възникват въпроси, които би трябвало да се отразят в доклада към проекта на Закона за кибер сигурност или да се отменят/променят още разпоредби на ЗЕУ, а именно:
- какво е общото и различното в дефинициите за мрежова и информационна сигурност съгласно ЗЕУ (§ 1, т. 10 от допълнителните разпоредби на ЗЕУ), Наредбата за общите изисквания за мрежова и информационна сигурност, приета на основание чл. 43, ал. 2 от ЗЕУ (§ 1, т. 3 от допълнителните разпоредби на наредбата) и съгласно проекта на Закон за кибер сигурност (§ 3, т. 20 от допълнителните разпоредби на проекта на Закон);
- какво ще бъде общото и различното по отношение на наредбата по чл. 43, ал. 2 от Закона за електронното управление (Наредба за общите изисквания за мрежова и информационна сигурност) и наредбата по чл. 18, ал. 3 на проекта на Закон за кибер сигурност по отношение на административните органи, лицата, осъществяващи публични функции и организациите, предоставящи обществени услуги, посочени както в чл. 1, ал. 1 и 2 на ЗЕУ, така и в чл. 2, ал. 1, чл. 18, ал. 3 и § 11, т. 2 и т. 3 от преходните и заключителни разпоредби на проекта на Закон за кибер сигурност. Ако в наредбата по чл. 43, ал. 2 от ЗЕУ останат разпоредбите само за оперативна съвместимост, то това също би трябвало да се отрази;
- ,азпоредбите в Hлава четвърта, раздел III (Мрежова и информационна сигурност) на ЗЕУ не се ли припокриват с тези в проекта на Закон за кибер сигурност – чл. 25, чл. 26 и др.
3. В чл. 26 се говори за класифицирани мрежи, ако това са автоматизираните информационни системи или мрежи, в които се създава, обработва, съхранява и пренася класифицирана информация по ЗЗКИ, то е необходимо тези системи или мрежи да се отразят в проекта на Закон за кибер сигурност съгласно нормативната уредба използвана по ЗЗКИ. Да се обърне внимание и на последния публикуван за обсъждане проект на ЗИД на ЗЗКИ, който внася съществени промени в разпоредбите за автоматизираните информационни системи или мрежи, като наименованието им се заменя с комуникационни и информационни системи и се допускат междусистемни връзки при определени условия със системи свързани с интернет (във връзка с определението за килер пространство) или други публични мрежи. Да се помисли и за необходимостта в проекта на Закон за кибер сигурност да се съдържат разпоредби аналогични на тези в чл. 1, ал. 3 на ЗЕУ.
4. Да се направят с преходните и заключителни разпоредби на проекта на Закона за кибер сигурност промени и в чл. 56, т. 3 и чл. 105б, ал. 1 на Закона за отбраната и въоръжените сили на Република България, като израза „киберотбрана“ се замени с „кибер отбрана“.
5. Съгласно чл. 9, т. 1, буква ж) от Закона за управление и функциониране на системата за защита на националната сигурност, Съветът по сигурността анализира състоянието на системата за защита на националната сигурност, изготвя оценки и предлага решения и действия по отношение на осигуряването и защитата на информационната сигурност от посегателства. Да се прецени необходимостта от разширение на понятието „информационна сигурност“ на „мрежова и информационна сигурност“, както и в чл. 5 на проекта на Закина за кибер сигурност да се отрази и взаимодействието на СКС със СС в областта на „мрежовата и информационна сигурност“.
21.03.2018
04.04.2018
---
Справка или съобщение.---
Окончателен акт на Министерския съвет
Необходимо е да се допълни § 3 на ДР на проекта на Закон като се дадат легални дефиниции на понятията "предизвикване на отказ на услуга", "зловреден софтуер" и "зловреден интернет трафик". Отсъствието на тези определения, дава се реална възможност да бъде предприето преследване срещу добросъвестни потребители на услуги, ако софтуерът на определена институция не е достатъчно качествен и не може да обработи достатъчно заявки. Има същатата възможност и при създаден голям интерес към достъп до определен интернет адрес или адрес на електронна поща. Всички тези потенциални възможности, трябва да бъдат предвидени в закона.
Необходимо е да се допълни § 3 на ДР на проекта на Закон като се дадат легални дефиниции на понятията "предизвикване на отказ на услуга", "зловреден софтуер" и "зловреден интернет трафик". Отсъствието на тези определения, дава се реална възможност да бъде предприето преследване срещу добросъвестни потребители на услуги, ако софтуерът на определена институция не е достатъчно качествен и не може да обработи достатъчно заявки. Има същатата възможност и при създаден голям интерес към достъп до определен интернет адрес или адрес на електронна поща. Всички тези потенциални възможности, трябва да бъдат предвидени в закона.