Законопроектът (ЗИД на ЗКС) е изготвен в изпълнение на ангажиментите на Република България като държава - членка на Европейския съюз, която следва да въведе в националното си законодателство до 17 октомври 2024 г. разпоредби и да създаде организация за изпълнението на Директива (ЕС) 2022/2555 на Европейския парламент и на Съвета от 14 декември 2022 година относно мерки за високо общо ниво на киберсигурност в Съюза, за изменение на Регламент (ЕС) № 910/2014 и Директива
(ЕС) 2018/1972 и за отмяна на Директива (ЕС) 2016/1148 (ОВ,
L 333, 27.12.2022 г.), наричана по-нататък „Директивата МИС 2”.
Директивата (ЕС) 2016/1148, транспонирана в българското законодателство чрез Закона за киберсигурност, е първото всеобхватно законодателство в областта на мрежовата и информационна сигурност на ниво ЕС и предоставя хармонизирана правна основа за борба с киберинцидентите в целия ЕС. В България до приемането на Директива (ЕС) 2016/1148 нямаше съществуващ единен принцип на взаимодействие при киберинциденти и инциденти в мрежовата и информационната сигурност (МИС), както и цялостна система за взаимодействие на междуинституционално ниво и между държавите - членки на Европейския съюз, при случаи на инцидент с трансгранично значение и измерение.
Директивата осигури завършването на националните рамки относно сигурността на мрежовите и информационните системи чрез създаването на национални стратегии за сигурност на мрежовите и информационните системи и създаването на национални способности.
Същият ефект/резултат се констатира и в България след приемането на Закона за киберсигурност, както следва:
- Създаде се организацията, управлението и контролът на киберсигурността, определиха се компетентните органи в областта на киберсигурността, както и техните функции и правомощия, регламентираха се дейностите по предприемане на необходимите мерки за постигане на високо общо ниво на сигурност на мрежите и информационните системи като един основен стълб на киберсигурността, така че да се подобри функционирането на вътрешния пазар;
- Създаде се институционалната рамка в областта на киберсигурността, превенцията и противодействието на кибератаките, насочена към по-голяма ефективност и по-добра координация между съществуващите органи и звена в публичната администрация;
- Създаде се Национално единно звено за контакт, регламентира се управлението и организацията на националната система за киберсигурност, националният координатор по киберсигурност, секторни екипи за реакция при инциденти в киберсигурността - ЕРИКС, както и Национален ЕРИКС, регламентираха се въпросите за междуинституционална взаимосвързаност и сътрудничество;
- Регулацията на мрежовата и информационна сигурност на административните органи, изискванията към тях да осигуряват и отговарят за мрежовата и информационната сигурност на използваните от тях информационни системи, също така изискванията и стандартите за сигурност, на които трябва да отговарят информационните системи за въвеждане, изпращане, обработка, достъп, обмен, съхраняване и архивиране на данни, както и общите мерки за сигурност, които трябва да предприемат;
- Определен бе статутът и функционирането на операторите на съществени услуги (ОСУ) и на доставчиците на цифрови услуги (ДЦУ).
Прегледът на Директива (ЕС) 2016/1148 обаче разкрива, че независимо от тези постижения, тя има и присъщи слабости, които пречат на намирането на ефективни решения за настоящите и възникващи предизвикателства в областта на киберсигурността. С Директива МИС2 се осъвременява съществуващата правна рамка, като се отчитат повишената цифровизация на вътрешния пазар през последните години и развиващата се картина на заплахите за киберсигурността и се разширява обхватът й.
Основните разлики между предходната и новата Директива за NIS се състоят в:
> Отстраняване на разграничението "Оператори на основни услуги (OES)" и "Доставчици на цифрови услуги (DSP)", залагайки на обектите като "Съществени" или "Важни".
> Разширяване на обхвата на Директивата с цел да се включат нови сектори в зависимост от степента им на критичност по отношение на тяхната индустрия или на вида услуга, която предоставят.
> Основаване на Европейска мрежа за връзка при киберкризи (EU-CyCLONe), за да се подпомогне управлението на киберсигурността при широкомащабни инциденти и кризи.
> Определянето на един ЕРИКС като координатор за целите на координираното оповестяване на уязвимости, обменът на служители, обединяването на взаимодействието между
EU-CyCLONe и мрежата CSIRTs, определянето на повече от един НКО, отговорен за изпълнението на задачите, свързани със сигурността на МИС, на съществени и важни субекти съгласно Директивата, широкото сътрудничество с академични и изследователски институции, въвеждането на механизъм за партньорска проверка, позволяващ оценка от експерти, определени от държавите членки, на прилагането на политиките за киберсигурност, включително нивото на способностите на държавите членки и наличните ресурси, и др. са все мерки, които изискват наличие на заявен политически модел на взаимодействие, на една развита и работеща в пълен обем национална киберсистема.
> Осигуряване на непрекъснатост на бизнеса при засягането му от киберинциденти и бързото докладване след анализа им.
> Промяна на сроковете за докладване на инцидент и последващ доклад.
> Промяна във вида и размера на административно-наказателните разпоредби.
Необходимо e транспониране на Директива (ЕС) 2022/2555 (Директива МИС2) поради непълно съответствие на действащата нормативна уредба и действащите разпоредби в тази област на политиката.