Народното събрание прие на второ четене промени в Закона за киберсигурност, с които в националното законодателство се въвеждат подобрените европейски изисквания за оценка на риска и докладване на киберинциденти. Измененията включват и текстове, свързани с ограничаването на използването на рискови технологии и вериги за доставка.
С приетите текстове се транспонират разпоредби на европейската директива относно мерките за високо общо ниво на киберсигурност, известна като Директива МИС 2, която регламентира защитата на мрежовите и информационните системи.
Разширява се кръгът на субектите, към които са насочени изискванията на закона. Освен административните органи, в обхвата вече попадат публични и частни субекти, доставчици на квалифицирани удостоверителни услуги, регистри на имена на домейни, образователни институции с критични научноизследователски дейности, както и органите на съдебната власт. Субектите се класифицират като съществени и важни според критерии, заложени в закона.
С измененията се увеличават и секторите на въздействие – от осем на 18. Сред тях са космическото пространство, отпадъчните води, управлението на ИКТ услуги между предприятия, пощенските и куриерските услуги, управлението на отпадъците, производството и дистрибуцията на химикали и храни, както и производството на медицински изделия, електронни и оптични продукти, машини, превозни средства и цифрови услуги.
Съществените и важните субекти ще бъдат задължени да уведомяват СЕРИКС за всеки значителен киберинцидент в срок до 24 часа от установяването му. До 72 часа се подава актуализирана информация с първоначална оценка за тежестта и въздействието на инцидента, а окончателен доклад се изисква до един месец след това. За доставчиците на удостоверителни услуги срокът за актуализация е 24 часа.
Законът предвижда Министерският съвет, по предложение на Съвета по киберсигурността, да може да въвежда изисквания за използване на конкретни сертифицирани ИКТ продукти, услуги и процедури, както и да ограничава технологии и вериги за доставка с произход от държави извън Европейския съюз. При вече използвани ограничени технологии е предвиден тригодишен срок за прекратяване, а при висок риск за националната сигурност – по-кратък срок. Тези текстове бяха предложени от Румен Христов от ГЕРБ–СДС и одобрени от парламента.
Не бяха приети предложенията на „Възраждане“ постановленията на Министерския съвет да имат препоръчителен характер, както и искането на „БСП – Обединена левица“ срокът за преустановяване на използването на ограничени технологии да бъде пет години.
По време на дебатите представители на „Възраждане“ и „Величие“ изразиха опасения, че законопроектът представлява свръхрегулация и може да се използва като инструмент за административен натиск върху бизнеса. Според тях новите разпоредби обслужват конкретни икономически интереси и ограничават свободния избор на технологии.
В пленарната зала присъства и министърът на електронното управление в оставка Валентин Мундров.
