България транспонира директивата NIS 2

Начало
България транспонира директивата NIS 2
Zdravko Bodzhov
0

Народното събрание прие на второ четене изменения в Закона за киберсигурност, с които в националната правна рамка се въвеждат подобрените европейски изисквания за оценка на риска, управление и докладване на киберинциденти. Промените транспонират разпоредбите на Директивата за мерки за високо общо ниво на киберсигурност (NIS 2 / МИС 2), чиято цел е да повиши устойчивостта на мрежовите и информационните системи в Европейския съюз.

Значително разширяване на задължените субекти

Новата регулаторна рамка обхваща далеч по-широк кръг организации. Освен органите на държавната администрация, под действието на закона вече попадат и публични и частни дружества, доставчици на квалифицирани удостоверителни услуги, регистри на имена на домейни, образователни и научноизследователски институции с критични дейности, както и органите на съдебната власт.

Субектите се класифицират като „съществени“ и „важни“, като за всяка категория са предвидени различни нива на изисквания, контрол и отговорност.

От 8 на 18 сектора с повишени изисквания

Една от най-съществените промени е разширяването на обхвата на регулираните сектори от осем на осемнадесет. Сред нововключените области са:

  • космическият сектор;

  • отпадъчните води и управлението на отпадъците;

  • управлението на ИКТ услуги между предприятия;

  • пощенските и куриерските услуги;

  • производството и дистрибуцията на химикали и храни;

  • производството на медицински изделия, компютри, електронни и оптични продукти, машини и моторни превозни средства;

  • доставчиците на цифрови услуги;

  • научните изследвания.

Разширяването цели да засили устойчивостта на критичните вериги за доставки и на икономически значими сектори, които досега не бяха обект на строг режим за киберсигурност.

По-кратки и строги срокове за докладване на инциденти

Съществените и важните субекти са задължени да уведомяват СЕРИКС за всеки значителен киберинцидент в рамките на 24 часа след установяването му. До 72 часа трябва да бъде подадена актуализирана информация с първоначална оценка за въздействието и техническите параметри на инцидента.

За доставчиците на удостоверителни услуги срокът за актуализация е съкратен до 24 часа, а окончателен доклад следва да бъде подаден не по-късно от един месец след актуализираното уведомление. Подходът отразява философията на NIS 2 за ранно известяване и координирана реакция.

Контрол и ограничения върху рискови ИКТ технологии

Законът дава правомощия на Министерския съвет, по предложение на Съвета по киберсигурността, да въвежда задължителни изисквания за използването на определени ИКТ продукти, услуги и процедури. Те трябва да са сертифицирани по европейските схеми за киберсигурност и доказано подходящи в оперативно и икономическо отношение.

Въз основа на координирана оценка на риска на равнище ЕС е възможно и ограничаване на използването на конкретни технологии или критични вериги за доставка с произход от трети държави.

Преходни периоди и извънредни мерки

Организациите, които вече използват технологии, впоследствие ограничени с постановление на Министерския съвет, разполагат с тригодишен срок за преустановяване на употребата им. При наличие на висок риск за националната сигурност може да бъде определен и значително по-кратък срок.

Предложенията за по-дълги преходни периоди или за препоръчителен характер на тези мерки не бяха приети.

Политически спор и опасения за свръхрегулация

По време на дебатите опозиционни депутати предупредиха, че законът въвежда прекомерна регулация и създава риск от административен натиск върху бизнеса чрез налагане на конкретни технологични решения. Бяха изразени и опасения за геополитически мотиви и изтласкване на определени доставчици от пазара.

Управляващото мнозинство отхвърли критиките, като подчерта, че текстовете следват изцяло рамката на NIS 2 и са насочени към защита на националната и икономическата сигурност.

С въвеждането на NIS 2 (МИС 2) България приема една от най-строгите си досега рамки за киберсигурност. Законът повишава устойчивостта срещу киберзаплахи и доближава страната до европейските стандарти, но едновременно с това поставя сериозни предизвикателства пред бизнеса и администрацията – необходимост от инвестиции, експертен капацитет и квалифицирани кадри.

Източник: e-security.bg

Сподели в:

Още публикации:

Ерата на автономните кибератаки - новата реалност за MSP през 2026 г.

Ерата на автономните кибератаки - новата реалност за MSP през 2026 г.

Прочети още
WatchGuard получава 5-звезден рейтинг в CRN Partner Program Guide за 2026 г.

WatchGuard получава 5-звезден рейтинг в CRN Partner Program Guide за 2026 г.

Прочети още
Защо пробивите в здравеопазването продължават

Защо пробивите в здравеопазването продължават

Прочети още
Microsoft Defender и необходимостта от управлявано реагиране в съвременната киберсигурност

Microsoft Defender и необходимостта от управлявано реагиране в съвременната киберсигурност

Прочети още
30 години киберсигурност имат значение само ако променят нещо реално

30 години киберсигурност имат значение само ако променят нещо реално

Прочети още
Най-големите ransomware атаки през 2025 г. показаха, че заплахата остава критична

Най-големите ransomware атаки през 2025 г. показаха, че заплахата остава критична

Прочети още

Последни публикации:

Ерата на автономните кибератаки – новата реалност за MSP през 2026 г.
Ерата на автономните кибератаки – новата реалност за MSP през 2026 г.
WatchGuard получава 5-звезден рейтинг в CRN Partner Program Guide за 2026 г.
WatchGuard получава 5-звезден рейтинг в CRN Partner Program Guide за 2026 г.
Защо пробивите в здравеопазването продължават
Защо пробивите в здравеопазването продължават

Категории:

Новини

Следвай ни в:

Facebook Linkedin

Етикети