Български
English
Народно събрание
на Република България
на Република България
Архив Народно събрание
Комисия по вътрешна сигурност и обществен ред
06/06/2018
1. Законопроект за киберсигурност, № 802-01-18, внесен от Министерския съвет на 30 май 2018 г.
2. Разни.
П Р О Т О К О Л
№ 12
На 6 юни 2018 г., сряда, от 14,30 ч. се проведе заседание на Комисията по вътрешна сигурност и обществен ред при следния
ДНЕВЕН РЕД:
1. Законопроект за киберсигурност, № 802-01-18, внесен от Министерския съвет на 30 май 2018 г.
2. Разни.
Списъкът на присъствалите на заседанието народни представители и списъкът на гостите се прилагат към протокола.
Заседанието беше открито и ръководено от господин Цветан Цветанов – председател на Комисията.
* * *
ПРЕДС. ЦВЕТАН ЦВЕТАНОВ: Колеги, имаме кворум. Предлагам да започваме.
Предложеният дневен ред за днешното редовно заседание на Комисията:
1. Законопроект за киберсигурност, № 802-01-18, внесен от Министерския съвет на 30 май 2018 г.
2. Разни.
Ако сте съгласни с така предложения дневен ред, моля да гласуваме. (Не се съобщават гласовете „за“, „против“ и „въздържали се“.)
Приема се.
Искам да направя уточнение, че на днешното заседание трябваше да присъства министърът на вътрешните работи за блицконтрол, но поради ангажимента в Брюксел – Съвета на министрите, блицконтролът ще бъде другата сряда.
Като вносител присъстват:
- заместник министър-председателят Томислав Дончев, който може би ще представи Законопроекта, и Николай Алексиев – съветник към кабинета на заместник министър-председателя;
- от Министерството на отбраната: заместник-министър Атанас Запрянов, полк. Йосиф Атанасов – директор на дирекция „Сигурност на информацията“, и Димитър Димитров – експерт от дирекция „Правнонормативна дейност“;
- от Държавна агенция „Електронно управление“: Атанас Темелков – председател, Кирил Дойчинов – главен секретар, Васил Грънчаров – директор на дирекция „Мрежова и информационна сигурност“, и Златина Бучкова – началник на отдел „Правни дейности“;
- от Министерството на транспорта, информационните технологии и съобщенията: заместник-министър Димитър Геновски и Христо Христов – директор на дирекция „Информационни технологии“;
- от Министерството на вътрешните работи: Светлозар Лазаров – сектор „Киберпрестъпност“, Главна дирекция „Борба с организираната престъпност“, и Райна Димова – главен юрисконсулт в дирекция „Правнонормативна дейност“;
- от Държавна агенция „Национална сигурност“: Николай Ненков – заместник-председател, Таня Митева-Каракаш – директор специализирана административна дирекция „Правнонормативна дейност“, и Виолета Дъчева – директор специализирана дирекция „Информационна сигурност“.
Да благодарим на гостите, защото това е Законопроектът, по който има толкова широко, всеобхватно присъствие от доста институции.
Давам думата на вицепремиера Томислав Дончев да ни запознае със Законопроекта на Министерския съвет.
ЗАМЕСТНИК МИНИСТЪР-ПРЕДСЕДАТЕЛ ТОМИСЛАВ ДОНЧЕВ: Уважаеми господин Председател, уважаеми дами и господа народни представители! Не знам какво е времето, в което очаквате да протече представянето, но моето предложение е да направя въведение с няколко думи и ако има необходимост, да дам възможност на колегите от различните институции и служби, които са тук, по една проста причина – към Законопроекта е възможен поглед от много гледни точки от различни ведомства, защото той регулира процеси, които са пряко свързани с правомощията и на ДАНС, и на Министерството на вътрешните работи, и на Министерството на отбраната, и на Агенция „Електронно управление“, както и на други служби.
Разбира се, формалният повод е транспониране на европейско законодателство – става дума за Директива 2016/1148 на Европейския парламент и на Съвета от 6 юли 2016 г. относно мерки за високо общо ниво на сигурност на мрежите и информационните системи в Съюза, което е първият опит за всеобхватно законодателство по тази тема на европейско ниво. Само отбелязвам, редно беше тези процеси да бъдат регулирани на ниво Европейски съюз, доколкото киберзаплахата и рисковете, които се генерират, в никакъв случай нямат нито локални, нито национални измерения. Още повече, предвид интензивните високи нива на свързаност между служби и администрации на европейско ниво, пробив на едно място допълнително може да създаде рискове на друго място, включително и на територията на други държави членки.
Друг аргумент обаче, различен от ангажимента ни да транспонираме европейското законодателство, е фактът, че сегашната нормативна база на страната де факто не регулира дейността на операторите на основни услуги и доставчиците на цифрови услуги в страната. Тяхната подготвеност по отношение на мрежова и на информационна сигурност – не са унифицирани изискванията за минималните нива на мрежова информационна сигурност на субектите от различни нива. Наред с това, нашата констатация е, че сегашната нормативна уредба е разпокъсана и отразява само частично или косвено основните понятия в сферата на киберсигурността.
Ако ми позволите една илюстрация, до момента опити за регулация има в: Закона за Министерството на вътрешните работи, Закона за ДАНС, Правилника за прилагането му, Закона за противодействие на тероризма, Закона за електронното управление, Закона за електронните съобщения, както и в други законови нормативни актове, и в много на брой други подзаконови нормативни актове.
Като резултат от това в Република България към този момент няма съществуващ единен принцип на взаимодействие, организация на дейността и реакция при киберинциденти. Не казвам, че на ниво подзаконови нормативни актове, ниво оперативни действия няма солидни опити за създаването на такава организация, но тя не е фондирана на законово ниво.
Като цяло Проектът на закон разглежда организацията, управлението и контрола на киберсигурността, определянето на компетентни органи в тази област, създава ясна институционална рамка по отношение на превенцията и на противодействието на кибератаките и киберзаплахите, изграждане на национално единно звено за контакт, както и секторни национални екипи за реакция при инциденти в сферата на киберсигурността. Регламентират се въпросите и междуинституционалната взаимносвързаност и координация при такива инциденти.
Регулацията на мрежовата и информационната сигурност на административните органи, както и изисквания за мрежова информационна сигурност на операторите на съществени услуги и на доставчиците на цифрови услуги, което в никакъв случай не е на последно място по значение.
Отбелязвам само, че прилагането на Закона не предвижда необходимост от допълнителни финансови средства, които да съставляват товар върху бюджета.
Със Законопроекта се определят няколко основни сектора на въздействие, в които ще се правят мерките, но това са публични администрации, енергетика, транспорт, банково дело, инфраструктура на финансовия пазар, здравеопазване, доставка и снабдяване с питейна вода, цифрова инфраструктура, онлайн места за търговия, търсачки, както и компютърни услуги в облак.
Свързано с това, основни субекти на Законопроекта са операторите на съществени услуги, които изброих преди малко, институциите, които предоставят административни услуги на населението, лица, които осъществяват своите публични функции, предоставят административни услуги на населението.
Опитах се да бъда кратък, господин Председател. Ако това се вписва във формата, колегите от другите ведомства могат да направят допълнение или, ако прецените, в рамките на въпроси и отговори.
ПРЕДС. ЦВЕТАН ЦВЕТАНОВ: Благодаря Ви, господин Вицепремиер.
Има ли други от гостите, които биха взели отношение по предложените мотиви от вицепремиера Дончев?
Заповядайте, господин Запрянов.
ЗАМЕСТНИК-МИНИСТЪР АТАНАС ЗАПРЯНОВ: Благодаря Ви, господин Председател.
Уважаеми господин Вицепремиер, уважаеми дами и господа народни представители! Във връзка с предложения от Министерския съвет с Решение № 366 от 30 май 2018 г. Проект на закон за киберсигурност от страна на Министерството на отбраната на Република България изразяваме следните мотиви в подкрепа на Законопроекта:
Първо, Проектът на закон за киберсигурност има за основна конкретна цел да бъдат въведени в българското законодателство изискванията на Директива 2016/1148 на ЕС, на Европейския парламент и Съвета от 6 юли 2016 г. относно мерките за високо общо ниво на сигурност на мрежите и информационните системи в Съюза. Доколкото това е първият систематизиран нормативен документ, както отбеляза и вносителят – вицепремиерът, в българското законодателство в областта на киберсигурността, то и неговият обхват е неизбежно свързан с определяне на цялостната база за защита на обществото, гражданите, бизнеса и управлението на държавата в киберпространството, както и осигуряване на устойчивост на развитието в сферата на цифрово общество, икономика и единен цифров пазар в ЕС. В този аспект Законопроектът покрива и трите основни стълба според Европейската стратегия за киберсигурност и приетата през месец юли 2016 г. наша, Национална стратегия за киберсигурност „Киберустойчива България 2020“, а именно сигурност на мрежите и информационните системи, правоприлагане, противодействие на киберпрестъпността и киберотбрана.
Доколкото киберотбраната е част от нашата дейност в Министерството на отбраната, тя е разгледана в нейния цялостен и съвременен аспект като основен елемент, стълб на националната сигурност и ангажимент на държавата към гражданите, бизнеса и взаимодействието, и задължението на Република България към съюзниците и партньорите от НАТО и Европейския съюз. По-конкретно киберотбраната се изразява в изграждане на комплекс от способности за защита и активно противодействие на кибератаки и хибридни въздействия върху системите за управление на страната и въоръжените сили във военно положение, извънредно положение или положение на война и върху стратегически обекти от значение за националната ни сигурност.
Трето, Проектът на закон предвижда и редица нови задължения, респективно правомощия на държавните органи, един от които е министърът на отбраната. В тази връзка е необходимо да отбележим, че определени задачи по осъществяване на киберотбраната са възложени на въоръжените ни сили с чл. 56, т. 3 от Закона за отбраната и въоръжените сили на Република България, като текстовете в предложения законопроект постигат функционално и терминологично единство и в двата закона. Предвидените в Законопроекта дейности и отговорности съответстват на повишените изисквания към защитата на киберпространството и необходимостта от развитие на адекватни на съвременните киберзаплахи способности, а именно: изграждане и развитие на способности за киберотбрана; за защита на системи за управление на отбраната и въоръжените сили и тяхното ресурсно осигуряване; координация и взаимодействие във връзка с изпълнението на поетите ангажименти за колективна отбрана на разпределеното киберпространство с НАТО и Европейския съюз; включване на допълнителни изисквания, свързани с киберотбраната и устойчивостта на работа на мрежите и системите за управление в допълнение и надграждане на поставените такива по отношение на мрежовата и информационната сигурност, както и мрежите, предписани от ДАНС, във връзка със защита на критичната инфраструктура и обектите от значение за националната сигурност; изграждане на допълнителен национален капацитет и киберрезерв.
По тези норми на Закона Министерството на отбраната ще планира съответните структурни изграждания и ресурсно осигуряване.
В Законопроекта са дефинирани и функции на началника на отбраната, които са нови, по поддържането на способности за киберотбрана; за защита на системи за управление на отбраната и въоръжените сили; интегрирането на задачите по киберотбрана като елемент от стратегическото планиране в плановете за изграждане на отбранителни способности и в плановете за операции на въоръжените ни сили; провеждане на съвместни национални и международни учения и тренировки.
Не на последно място, считаме, че предвидените дейности и отговорности в Законопроекта съответстват на съвременните условия и заплахи, както и на вижданията и изискванията за развитието на способности за киберотбрана в НАТО и Европейския съюз.
На основание гореизложеното Министерството на отбраната изразява своята пълна подкрепа за Проекта на закон за киберсигурност. Благодаря Ви за вниманието.
ПРЕДС. ЦВЕТАН ЦВЕТАНОВ: Благодаря Ви и аз.
Заповядайте.
ЗАМЕСТНИК-МИНИСТЪР ДИМИТЪР ГЕНОВСКИ: Уважаеми господин Председател, уважаеми господин Вицепремиер, дами и господа народни представители! В съгласувателната процедура по чл. 34, ал. 1 от Устройствения правилник на Министерския съвет и неговата администрация съгласувахме Проект на решение на Министерския съвет за одобряване на Законопроект за киберсигурност, като направихме забележки от редакционен характер, както и такива с цел подобряване на някои текстове в приложенията към Проекта на закон с цел постигане на по-голяма съгласуваност с текстовете на съществуващите нормативни актове, регламентиращи дейността на операторите на съществени услуги в сектор „Транспорт“. Въпросните предложения са взети предвид от авторите на Законопроекта и в тази връзка подкрепяме безусловно предложението за Закон за киберсигурност, внесено от господин Томислав Дончев. Благодаря Ви.
ПРЕДС. ЦВЕТАН ЦВЕТАНОВ: Благодаря Ви и аз.
Друг ще вземе ли отношение?
Господин Темелков.
АТАНАС ТЕМЕЛКОВ: Готови сме да отговаряме на въпроси, господин Председател.
ПРЕДС. ЦВЕТАН ЦВЕТАНОВ: Колегите от ДАНС, от Министерството на вътрешните работи ще вземат ли отношение, или да отворим дебата?
Колеги народни представители, заповядайте за отношение.
Докато помислите, ще кажа няколко думи.
Въпросите за киберсигурността са с ключово значение за развитието на мрежовите и информационните системи през ХХІ век. Именно поради тази причина защитата от киберкризи, защитата на сигурността на мрежите и информационните системи беше една от най-важните теми по време на Българското председателство на Съвета на Европейския съюз през 2018 г.
Мрежите, информационните системи и услугите имат изключително важна роля в обществото. Тяхната надеждност и сигурност са от основно значение за икономиката, обществените дейности и за функционирането както на вътрешния, така и на международния пазар. Тези системи са подложени на риск от недобронамерени действия, имащи за цел да повредят системите и да прекъснат тяхната работа. Това означава значителни финансови загуби за потребителите, лишаване от доверие, означава да причинят големи вреди както на страната ни, така и на икономиката на Съюза. Това е причината да бъде приета Директива на Европейския съюз от 2016 г. – 1148, на Европейския парламент и на Съвета, която е първото всеобхватно законодателство в областта на мрежовата и информационна сигурност в Европейския съюз и обхваща проблематиката в този сектор на всички нива – държава, граждани, фирми, бизнес организации, доставчици и потребители на услуги, органи, координация, взаимодействие и прочее.
Законопроектът за киберсигурност e ефективен отговор на необходимостта от усъвършенстване, систематизиране и прилагане на нов, модерен подход за преодоляване на предизвикателствата в европейски и международен мащаб. Със Законопроекта ще се създаде възможност и за по-пълноценно използване възможностите на цифровия свят, социалните медии, електронното правителство, електронното обучение, електронното здравеопазване. Ето защо приемането му е изключително важна стъпка в осъществяване и усъвършенстване сигурността на киберсистемите.
Тук обаче бих искал да добавя и някои забележки, в процеса може би ще бъдат установени повече. Мога да кажа за една, която прави впечатление и която, между другото, сме коментирали в много други законопроекти, предлагани за обсъждане в нашата и в други комисии в българския парламент.
В Закона, който е пред всеки от народните представители, в чл. 2, ал. 6 е записано: „Изискванията и стандартите, на които трябва да отговарят мрежите и субектите по ал. 1, за въвеждане, изпращане, обработка, достъп, обмен, съхраняване и архивиране на данни, както и общите мерки за сигурност, които трябва да предприемат, се определят с наредба на Министерския съвет“. Тук трябва да се върнем и към Законопроекта.
Колегите от Държавна агенция „Национална сигурност“, които участваха активно по Закона за мерките срещу изпирането на пари, знаете, че имаше много сериозен коментар от страна на институции, на неправителствени организации за това, че всъщност наредбата дава допълнителна възможност по всяко време Министерският съвет да приема съответната промяна на обхвата на един законопроект. Точно в тази връзка смятаме, че критериите следва да бъдат дефинирани в Закона, а в наредбата може да се регламентират редът и условията за прилагането им. Липсата на ясни законови критерии може да разшири неоправдано кръга на субектите, без да осъществява на практика дейност или услуги на описаните по чл. 2 лица.
При регламентацията за създаване на екипи за реакция при инциденти не са определени дори минималните изисквания за професионална квалификация, образование и стаж на участниците, а отговорността им е голяма. Редактиране на дефинициите в Допълнителните разпоредби на Закона, които са двусмислени и неясни.
Точно затова, след като бъде подложен на гласуване – убеден съм, че Законопроектът ще бъде приет на първо четене в нашата комисия, разбира се, след това и в пленарната зала, както сме практикували и по други законопроекти, ще направим работна група със съответните референти, които са в нашата комисия, с други експерти. Тук може би вицепремиерът Томислав Дончев ще ни съдейства за осигуряването на експерти, които да участват активно с колегите от парламента, за да знаем, когато Законопроектът бъде подложен на второ гласуване, че приемаме текст, максимално възприет от всички парламентарни групи в българския парламент, да приемем, че това е Законопроектът, който действително ще отговори на очакванията на обществото, на фирмите, на бизнеса, и да защитим страната ни. Това е, което исках да споделя.
Колеги, някой ще вземе ли отношение?
Заповядайте, господин Янков.
КРАСИМИР ЯНКОВ: Уважаеми господин Председател, ще задам няколко въпроса, и то към вицепремиера Дончев, тъй като виждам, че явно е под негово ръководство. Внимателно слушах неговото презентиране – той беше коректен да каже, че се използва формално въвеждането на Директивата, защото в голяма степен текстовете са плод на виждането на различните институционални звена, които са участвали в работата.
Понеже е изключително актуално, не само в този мандат, а от участието ми в Народното събрание от 2013 г., се опитвам да обясня, че изключително важна не само в работата на Министерството на вътрешните работи, но и на всички звена, които имат ангажираност към прилагането и спазването на законодателството, е превантивната работа – превенция и пресичане. В мотивите виждам, че е отбелязано „създаване на условия за изграждане на ефективна система за превенция“ и вече реактивните дейности, които са – борба с кибератаките. Но ме интересува какво е виждането на правителството именно в частта „Изграждане на система за превенция“, като можете да го разширите – и пресичане.
Защото, уважаеми дами и господа народни представители, представители на изпълнителната власт и всички присъстващи гости, включително и със снощния инцидент в Ботевград, всички в момента се интересуват от реактивните действия. А трябва да ни интересува превантивната дейност на институционалните звена, за да не се допускат подобни случаи. Простете, че смесвам двата случая, но съм афектиран от това тежко криминално деяние, извършено в Ботевград.
В случая – отбелязано е, че с този закон се създават условия. Има ли анализ: какви точно условия, каква е тази система в намеренията на правителството и доколко е направен анализ за ефективността, защото е записано „ефективна система за превенция“?
Иначе не подценявам самата борба с кибератаките, които според мен в бъдеще ще се развиват не само от гледна точка на иновативност, но и във връзка с развитието на технологиите. Много е важно, изключително важно е държавата и институциите да са изпреварващи по отношение на злонамерените действия, свързани с кибератаки.
Второ, в мотивите е записано: „ограничаване на транснационалния характер на инцидентите“. Не знам как го виждате това ограничаване, тъй като пространството е свободно за целия свят. Мисля, че може да бъде развито и в рамките на конкретни текстове в Закона. Или по-скоро въпросът е: как виждате взаимодействието с другите институционални звена в Европейския съюз и звената, които са част от партньорските служби, именно от гледна точка на създаване на стандарти за минимални изисквания?
Вероятно ще има необходимост (това е малко в противоречие с онова, което господин Цветанов каза, и в същото време е в подкрепа) – подзаконови нормативни актове според мен може да има, които са във връзка с динамично променена среда за сигурност именно по отношение на кибератаки. Тук трябва да се даде възможност, евентуално да се помисли – с бързо съгласуване между отговорното звено Държавна агенция „Национална сигурност“ и МВР по отношение на бързи мерки, които да са с характер на завишаване на тези минимални изисквания за сигурност.
В частта наредба, като подзаконов нормативен акт по чл. 2, ал. 6, мисля, че господин Цветанов е прав – българските граждани трябва да знаят и ние трябва да сме информирани, вземайки решение при гласуването на конкретните текстове, всъщност какво стои зад, какви са намеренията за подзаконовите нормативни актове. Благодаря Ви.
ПРЕДС. ЦВЕТАН ЦВЕТАНОВ: Благодаря Ви.
Ако не възразявате, да видим дали има един-два въпроса.
Господин Иванов, заповядайте.
ИВАН ВАЛЕНТИНОВ ИВАНОВ: Уважаеми господин Председател, уважаеми господин Вицепремиер, уважаеми гости, уважаеми колеги! Имам няколко въпроса конкретно по предложения законопроект.
Първият ми въпрос е: каква част от предложения законопроект съдържа Европейската директива, която транспонираме, и каква част са тук създадени текстове, на които Вие сте автор, господин Дончев, или ръководеното от Вас министерство, тъй като Вие представихте Законопроекта?
Вторият ми въпрос е: кой от трите варианта за въздействие считате за по-приложим – нулев, първи или втори, по отношение както на разходи, така и на въздействие върху структури, върху които Законът ще има някакво последващо действие? Дали сте три варианта – много важно е кой от трите е по-работещ според Вас и на какво ще се отрази.
Считате ли, че тази директива можеше да бъде транспонирана с изменение на други действащи в момента закони, а не със създаването на нов, който ни предлагате? Вие изчерпателно ги изредихте още в началото на своето изложение.
Считате ли, че към днешна дата функцията на тези структури, които се грижат за киберсигурността, е неефикасна към настоящия момент и текстовете, които се предлагат, ще подобрят тази ефикасност? Благодаря Ви.
ПРЕДС. ЦВЕТАН ЦВЕТАНОВ: Колеги, има ли други народни представители, които искат да вземат отношение? Не.
Заповядайте, господин Дончев.
ЗАМЕСТНИК МИНИСТЪР-ПРЕДСЕДАТЕЛ ТОМИСЛАВ ДОНЧЕВ: Уважаеми господин Председател, първо по отношение на Вашия коментар. Както е известно от практиката и от теорията, съвършено законодателство няма. Всички усилия текстът да стане по-близо до изискванията, особено в режим на консенсус, би трябвало да бъдат приветствани и подкрепяни. Така че каквото зависи от мен – мобилизация на всякакъв тип представители, експерти от различни ведомства, те ще съдействат за работата на работната група.
Един кратък принципен коментар – това е вечен доктринален спор: каква част от материята би било редно да се уреди на ниво закон, каква – на ниво подзаконова нормативна база? Едното дава шанс за повече гъвкавост и реакция във времето, другото означава по-стабилно фондиране на правилата във времето. Приемам, че по темата има нужда от допълнителен коментар, който на експертно ниво може да бъде свършен в работната група.
Моля да имате предвид, че макар транспонирането на Директивата да е концептуалното ядро на текста, той все пак отразява известна доза компромис между различните виждания на ведомствата, които са участвали при разработката и които са давали становища по отношение на текста.
Започвам поред на зададените въпроси.
По отношение на превенцията – няма как Законът да урежда текстове на техническо или на методическо ниво, свързани с превенцията. Принципно съм съгласен, че по-добре да се инвестира в превенция, отколкото в покриване на щетите – това е универсален принцип и той не е свързан само със сферата на киберсигурността. Тук Законът има определени достижения, доколкото включително регламентира персоналната отговорност на ръководителя, което до момента не беше тема. Тези, които имат опит от практиката, знаят, че това е един от основните въпроси.
По отношение на всякакви по-конкретни въпроси, свързани с нужди, анализ, инвестирани средства. Понеже анализи има правени, повече от един, включително имаме и на най-критичните ведомства – разбирайте примерно Министерския съвет, Външното министерство, колегите от Отбраната – там материята е малко по-специфична, има правени информационни одити, ако уважаемата комисия проявява интерес към който и да било от тези документи, тя може да бъде запозната с уговорката, че съобразно изискванията на Закона това е редно да се случи на закрито заседание. Тук има куп детайли, които няма как да бъдат коментирани в този формат.
Говорейки за превенцията, това е непрекъснато надпреварване за нивото на технологична съоръженост от този, който защитава, спрямо този, който атакува. Тук иновациите – в лошия смисъл на думата, понякога са въпрос на дни. Това, което е вършело работа предишния месец или преди шест месеца, невинаги е актуално и невинаги може да осигури 100-процентова защита в момента.
Освен всичко друго, това е отвъд формата на Закона – става дума, със съжаление го казвам, за пари. Понякога става дума за много пари. Най-новите решения, които гарантират по-високи нива на информационна сигурност, за съжаление, са много по-скъпи от тези, които се прилагаха преди пет или преди шест години. Включително такъв тривиален въпрос е подмяната на хардуера и слагането на нови операционни системи – гарантира по-високо ниво на защита и в същото време генерира допълнителни разходи.
По отношение на конкретния въпрос, свързан с транснационалния характер на инцидентите. Ще си позволя да насоча вниманието Ви към чл. 15, където детайлно е уредена тази материя, включително и със създаване на национално единно звено за контакт, което има точно тази функция – взаимодействие със същите звена за контакт в другите държави членки при наличие на такива инциденти.
По отношение на изискванията за сигурност – позволете ми да се върна към това, което казах няколко изречения преди това, те няма как да бъдат от техническо естество. В нормативен акт, дори в подзаконов нормативен акт няма как да описваме конкретни технически решения. Това трябва да бъдат изисквания, на които трябва да отговаря съответната система, защото в най-лошия случай техническите решения се променят на една или две години.
Трудно ми е да правя лингвистичен анализ каква част от текста пряко транспонира Директивата. Краткият отговор би трябвало да е 100%, защото той отразява духа на Директивата. Разбира се, има адитиви, има конкретни текстове по отношение на МВР, по отношение на Министерството на отбраната, които уреждат, да кажем, различни вътрешноведомствени въпроси на това или на друго ведомство, в което няма нищо лошо.
Още повече, опитвайки се да отговоря на следващия въпрос – дали този ефект би бил постигнат, ако ние се опитаме да ремонтираме дългия списък с актове, които коментирах преди малко, според мен – не. Включително една от претенциите, които имам, че този текст до голяма степен представлява кодификация, тоест събиране на всичко на едно място, за да може всяка заинтересована страна, всеки, който е длъжен да го прилага, от едно място да може ясно и по безспорен начин да разбере какви са му ангажиментите, задълженията и така нататък.
Дали е неефективна системата за киберзащита в България – никога не бих направил подобна квалификация. Всяка от службите, която има отговорности към процеса, а те са много – горе-долу равен на броя текстове, които изредих преди малко, има определени функции и ангажименти, и ги изпълнява. Ако има недостатъци, те са на ниво конкретни ведомства, които по причина или липса на заинтересованост в административния ръководител, или липса на достатъчно пари не са взели достатъчно адекватни мерки, за да си гарантират сигурността на системата. Заедно с колегите непрекъснато работим такива случаи да няма.
Считам, че с приемането на закон с подобна архитектура като минимум въвеждаме ред, организация и яснота кой какво трябва да прави в подобна ситуация.
Въпросът Ви за сценариите предполагам, че се базира на оценката за въздействието. Не съм сигурен, че мога да заредя файла в момента. (Реплика от народния представител Иван Валентинов Иванов при изключени микрофони.)
Напълно е възможно, но текстът не е пред мен в момента – работя по не знам колко нормативни актове, трудно е да си спомням оценката на въздействието за всеки. Обичайно успявам да реагирам дори на ниво технически детайл, но моля да ми позволите да се запозная с текста и тогава да направя коментар. Примерно на следващото заседание на Комисията да предоставя по-добър анализ. Не мога да помня – не само всички членове, че и оценката на въздействието към всеки документ.
ПРЕДС. ЦВЕТАН ЦВЕТАНОВ: Само един коментар.
Може би това ще бъдат част от въпросите, които ще се задават в пленарната зала при дебата, когато се води – обсъждането преди гласуване.
Заповядайте, господин Иванов.
ИВАН ВАЛЕНТИНОВ ИВАНОВ: Благодаря Ви, господин Председател.
Позволявам си да взема реплика, и неслучайно, по отношение на трите варианта, защото още в своето изложение направихте коментар, че предложеният законопроект няма да има финансово изражение, тоест няма да има никакъв ефект по отношение на разходите. За съжаление, в трите варианта намирам три различни опции, като в единия също има вариант за разходи, включително засегнатите лица, които са надолу. Затова исках да разбера кой според Вас е по-приложимият, тъй като във варианта, в който ще има разходи за засегнати лица, вярвам, че ще бъдат доста сериозни. Сам разбирате, че една промяна, както казахте, в софтуера, в хардуера, не е даром – доста скъпоструващи действия са, включително за държавната администрация говоря.
Предполагам, че неслучайно сте дали три варианта, защото давайки само един вариант, е ясно в каква посока се върви. Давайки три варианта, е много разтегливо понятие. Това дали ще има разходи или няма и кой вариант ще се случи, до голяма степен трудно може да формира при нас окончателно решение – да подкрепим или да не подкрепим този законопроект, защото наличието на допълнителна администрация, каквато неизменно ще се появи в процеса на прилагането на Закона, няма как да не доведе до допълнителни финансови разходи. Това е пределно ясно и на Вас – Вие сте достатъчно запознат, и в други комисии сме коментирали по тези теми. Още повече, от Законопроекта и от Вашите отговори очаквах да разбера, защото в оценката за въздействие и за съответствие с Европейската директива има посочени текстове, които не ги транспонираме поради причини, написани там. Тоест транспониращата страна отказва поради незадължителност на този характер – Вие казвате 100%. Вярно е, че доста голям е текстът. Признавам си, че не съм се запознал на 100% точно кои текстове на Директивата не сте вписали в Законопроекта и не сте транспонирали, но е записано точно и ясно – аз съм го прочел там. Вината може би е моя, че не съм се запознал с оригиналния текст – запознах се с това, което ни предоставяте. Още повече, не става ясно какво ще се случи с вече действащи текстове и разпоредби, които работят – както службите, така и отделните министерства, по отношение на киберсигурността. Дали няма да има ред противоречия, или ще трябва адхок да променяме и тях, защото в Преходните и заключителните разпоредби не виждам отмяна или промяна на действащи текстове в други закони. Очаквах да направим пълен анализ, тъй като за такъв структуроопределящ закон, който на нас ни се предоставя, би трябвало да е направен анализ на цялото съществуващо законодателство към днешна дата, за да не изпадаме в противоречие с вече действащи текстове и да затрудняваме работата на крайните потребители на този закон. Благодаря Ви.
ПРЕДС. ЦВЕТАН ЦВЕТАНОВ: Благодаря Ви и аз.
Заповядайте, господин Дончев.
ЗАМЕСТНИК МИНИСТЪР-ПРЕДСЕДАТЕЛ ТОМИСЛАВ ДОНЧЕВ: По отношение на опасенията, свързани със създаване на хаос и релацията с вече съществуващи закони, позволявам си да насоча вниманието Ви към § 9, където ясно се посочва в кои от съществуващите в момента актове се правят промени. Мисля, че тук повод за опасения няма.
По отношение на допълнителния товар върху публичните разходи, върху бюджета, ако следваме този стандарт, няма как приемането на един закон да не предполага допълнителни разходи, най-малкото като имаме предвид отпечатването на хартия и административния процес по приемането му в Министерския съвет и Народното събрание. Ако тръгнем по тази линия, няма текст, който да не предполага допълнителни разходи.
Мерките са преди всичко организационни, те имат за цел създаване на ред и адекватна организация. Мерките, които трябва да бъдат взети на ниво специализирани служби и на ниво ведомство за адекватна киберзащита, са други и те няма как детайлно да бъдат уредени в Закона, защото, както казах преди малко, това е въпрос на технически изисквания. Можем да продължим и на ниво казуистика, и на ниво технически детайл, ако този разговор е интересен.
ПРЕДС. ЦВЕТАН ЦВЕТАНОВ: Заповядайте, господин Темелков.
АТАНАС ТЕМЕЛКОВ: Благодаря Ви.
Искам да допълня само няколко думи във връзка с транспонирането на Директивата. Във връзка с Председателството и възможността наши колеги да работят за известно време в Комисията използваме това време текстът на Закона да бъде прегледан от колеги, които са работили по Директивата. Оценката е, че на 100% текстовете, които е необходимо да бъдат транспонирани в този закон, са направени. (Реплика от народния представител Иван Валентинов Иванов при изключени микрофони.)
Пише, че има текстове, които не е необходимо да бъдат транспонирани, тъй като…
ИВАН ВАЛЕНТИНОВ ИВАНОВ: Не е 100% транспонирана Директивата.
АТАНАС ТЕМЕЛКОВ: Добре, 99.
ЗАМЕСТНИК МИНИСТЪР-ПРЕДСЕДАТЕЛ ТОМИСЛАВ ДОНЧЕВ: Не, въпросът беше: каква част от Закона е…
ПРЕДС. ЦВЕТАН ЦВЕТАНОВ: Моля Ви, не влизайте в диалог. Председателят дава думата. Това не е Министерският съвет. Тук е българският парламент и опозицията бди веднага за реда и за дисциплината.
Заповядайте, господин Запрянов.
ЗАМЕСТНИК-МИНИСТЪР АТАНАС ЗАПРЯНОВ: По отношение на разходите – така или иначе няма как да ги дефинираме, те ще бъдат динамични. Ние вече правим разходи – създаваме структури, създаваме софтуер, обучаваме персонал. Тоест Законът ни дава ръководните правила, по които ще се борим киберсигурността да осигурим. Няма как да изчислим еднократно едни пари и с тези пари решаваме въпроса за киберсигурността. Това ще бъде динамично състояние, както каза вицепремиерът, и ние ще се борим от година в година, инвестирайки в това. Това го правим вече и без закон. Благодаря Ви.
ПРЕДС. ЦВЕТАН ЦВЕТАНОВ: Ако ми позволите, господин Запрянов, да Ви попитам, след като взехте думата: системата Странджа докъде стигна?
ЗАМЕСТНИК-МИНИСТЪР АТАНАС ЗАПРЯНОВ: Системата Странджа свързва с оптика нашите отбранителни обекти. Не е завършена, но много голяма част е пред завършване.
ПРЕДС. ЦВЕТАН ЦВЕТАНОВ: Покритие на цялата страна.
ЗАМЕСТНИК-МИНИСТЪР АТАНАС ЗАПРЯНОВ: Почти.
ПРЕДС. ЦВЕТАН ЦВЕТАНОВ: А системата ТЕТРА? От Министерството на вътрешните работи…
ЗАМЕСТНИК-МИНИСТЪР АТАНАС ЗАПРЯНОВ: Тя е по-развита от тази на Отбраната.
ПРЕДС. ЦВЕТАН ЦВЕТАНОВ: А описа ли правителството вариант тези две системи да бъдат под една или друга форма интегрирани, за да се покрие цялата държава и да гарантираме действително сигурността при преноса на данни от различните системи?
ЗАМЕСТНИК-МИНИСТЪР АТАНАС ЗАПРЯНОВ: Това се обсъжда между двете министерства, господин Председател. Въпросът е, че трябва да се инвестира в софтуерен продукт, който да направи транслация между ТЕТРА милитари, която има Отбраната, и ТЕТРА имърджънси, която има МВР. Или казано на фирмен език, „Моторола“ с „Нокиа“ трябва да бъдат спрегнати. Това е възможно да се направи чрез инвестиция. Благодаря Ви.
ПРЕДС. ЦВЕТАН ЦВЕТАНОВ: Мисля, че това би дало по-голяма защитеност на всички институции, които имат възможност да си комуникират и да обменят данни. Не знам това дали представлява интерес, но мисля, че може да се анализира, както казахте, господин Запрянов.
КРАСИМИР ЯНКОВ: …Смесвате разговора.
ПРЕДС. ЦВЕТАН ЦВЕТАНОВ: Това беше между другото.
КРАСИМИР ЯНКОВ: Съвсем между другото – в точка „Разни“. Конкретно по Законопроекта не се отнася, нали?
ПРЕДС. ЦВЕТАН ЦВЕТАНОВ: По Законопроекта, колеги, изчерпахме изказванията.
Който е за предложения законопроект, представен от вицепремиера Томислав Дончев и колегите от Министерския съвет, моля да гласува.
За – 11, против (не се съобщават гласове „против“), въздържали се – 6.
Законопроектът е приет на първо четене в Комисията.
Пожелавам успех! Благодарим за вниманието и за ангажимента Ви да представите Законопроекта. Успех!
Колеги, преминаваме към точка втора „Разни“.
Имате ли някакви въпроси? Няма.
Поради изчерпване на дневния ред закривам днешното редовно заседание. Благодаря Ви.
(Закрито в 15,15 ч.)
ПРЕДСЕДАТЕЛ:
Цветан Цветанов
2. Разни.
П Р О Т О К О Л
№ 12
На 6 юни 2018 г., сряда, от 14,30 ч. се проведе заседание на Комисията по вътрешна сигурност и обществен ред при следния
ДНЕВЕН РЕД:
1. Законопроект за киберсигурност, № 802-01-18, внесен от Министерския съвет на 30 май 2018 г.
2. Разни.
Списъкът на присъствалите на заседанието народни представители и списъкът на гостите се прилагат към протокола.
Заседанието беше открито и ръководено от господин Цветан Цветанов – председател на Комисията.
* * *
ПРЕДС. ЦВЕТАН ЦВЕТАНОВ: Колеги, имаме кворум. Предлагам да започваме.
Предложеният дневен ред за днешното редовно заседание на Комисията:
1. Законопроект за киберсигурност, № 802-01-18, внесен от Министерския съвет на 30 май 2018 г.
2. Разни.
Ако сте съгласни с така предложения дневен ред, моля да гласуваме. (Не се съобщават гласовете „за“, „против“ и „въздържали се“.)
Приема се.
Искам да направя уточнение, че на днешното заседание трябваше да присъства министърът на вътрешните работи за блицконтрол, но поради ангажимента в Брюксел – Съвета на министрите, блицконтролът ще бъде другата сряда.
Като вносител присъстват:
- заместник министър-председателят Томислав Дончев, който може би ще представи Законопроекта, и Николай Алексиев – съветник към кабинета на заместник министър-председателя;
- от Министерството на отбраната: заместник-министър Атанас Запрянов, полк. Йосиф Атанасов – директор на дирекция „Сигурност на информацията“, и Димитър Димитров – експерт от дирекция „Правнонормативна дейност“;
- от Държавна агенция „Електронно управление“: Атанас Темелков – председател, Кирил Дойчинов – главен секретар, Васил Грънчаров – директор на дирекция „Мрежова и информационна сигурност“, и Златина Бучкова – началник на отдел „Правни дейности“;
- от Министерството на транспорта, информационните технологии и съобщенията: заместник-министър Димитър Геновски и Христо Христов – директор на дирекция „Информационни технологии“;
- от Министерството на вътрешните работи: Светлозар Лазаров – сектор „Киберпрестъпност“, Главна дирекция „Борба с организираната престъпност“, и Райна Димова – главен юрисконсулт в дирекция „Правнонормативна дейност“;
- от Държавна агенция „Национална сигурност“: Николай Ненков – заместник-председател, Таня Митева-Каракаш – директор специализирана административна дирекция „Правнонормативна дейност“, и Виолета Дъчева – директор специализирана дирекция „Информационна сигурност“.
Да благодарим на гостите, защото това е Законопроектът, по който има толкова широко, всеобхватно присъствие от доста институции.
Давам думата на вицепремиера Томислав Дончев да ни запознае със Законопроекта на Министерския съвет.
ЗАМЕСТНИК МИНИСТЪР-ПРЕДСЕДАТЕЛ ТОМИСЛАВ ДОНЧЕВ: Уважаеми господин Председател, уважаеми дами и господа народни представители! Не знам какво е времето, в което очаквате да протече представянето, но моето предложение е да направя въведение с няколко думи и ако има необходимост, да дам възможност на колегите от различните институции и служби, които са тук, по една проста причина – към Законопроекта е възможен поглед от много гледни точки от различни ведомства, защото той регулира процеси, които са пряко свързани с правомощията и на ДАНС, и на Министерството на вътрешните работи, и на Министерството на отбраната, и на Агенция „Електронно управление“, както и на други служби.
Разбира се, формалният повод е транспониране на европейско законодателство – става дума за Директива 2016/1148 на Европейския парламент и на Съвета от 6 юли 2016 г. относно мерки за високо общо ниво на сигурност на мрежите и информационните системи в Съюза, което е първият опит за всеобхватно законодателство по тази тема на европейско ниво. Само отбелязвам, редно беше тези процеси да бъдат регулирани на ниво Европейски съюз, доколкото киберзаплахата и рисковете, които се генерират, в никакъв случай нямат нито локални, нито национални измерения. Още повече, предвид интензивните високи нива на свързаност между служби и администрации на европейско ниво, пробив на едно място допълнително може да създаде рискове на друго място, включително и на територията на други държави членки.
Друг аргумент обаче, различен от ангажимента ни да транспонираме европейското законодателство, е фактът, че сегашната нормативна база на страната де факто не регулира дейността на операторите на основни услуги и доставчиците на цифрови услуги в страната. Тяхната подготвеност по отношение на мрежова и на информационна сигурност – не са унифицирани изискванията за минималните нива на мрежова информационна сигурност на субектите от различни нива. Наред с това, нашата констатация е, че сегашната нормативна уредба е разпокъсана и отразява само частично или косвено основните понятия в сферата на киберсигурността.
Ако ми позволите една илюстрация, до момента опити за регулация има в: Закона за Министерството на вътрешните работи, Закона за ДАНС, Правилника за прилагането му, Закона за противодействие на тероризма, Закона за електронното управление, Закона за електронните съобщения, както и в други законови нормативни актове, и в много на брой други подзаконови нормативни актове.
Като резултат от това в Република България към този момент няма съществуващ единен принцип на взаимодействие, организация на дейността и реакция при киберинциденти. Не казвам, че на ниво подзаконови нормативни актове, ниво оперативни действия няма солидни опити за създаването на такава организация, но тя не е фондирана на законово ниво.
Като цяло Проектът на закон разглежда организацията, управлението и контрола на киберсигурността, определянето на компетентни органи в тази област, създава ясна институционална рамка по отношение на превенцията и на противодействието на кибератаките и киберзаплахите, изграждане на национално единно звено за контакт, както и секторни национални екипи за реакция при инциденти в сферата на киберсигурността. Регламентират се въпросите и междуинституционалната взаимносвързаност и координация при такива инциденти.
Регулацията на мрежовата и информационната сигурност на административните органи, както и изисквания за мрежова информационна сигурност на операторите на съществени услуги и на доставчиците на цифрови услуги, което в никакъв случай не е на последно място по значение.
Отбелязвам само, че прилагането на Закона не предвижда необходимост от допълнителни финансови средства, които да съставляват товар върху бюджета.
Със Законопроекта се определят няколко основни сектора на въздействие, в които ще се правят мерките, но това са публични администрации, енергетика, транспорт, банково дело, инфраструктура на финансовия пазар, здравеопазване, доставка и снабдяване с питейна вода, цифрова инфраструктура, онлайн места за търговия, търсачки, както и компютърни услуги в облак.
Свързано с това, основни субекти на Законопроекта са операторите на съществени услуги, които изброих преди малко, институциите, които предоставят административни услуги на населението, лица, които осъществяват своите публични функции, предоставят административни услуги на населението.
Опитах се да бъда кратък, господин Председател. Ако това се вписва във формата, колегите от другите ведомства могат да направят допълнение или, ако прецените, в рамките на въпроси и отговори.
ПРЕДС. ЦВЕТАН ЦВЕТАНОВ: Благодаря Ви, господин Вицепремиер.
Има ли други от гостите, които биха взели отношение по предложените мотиви от вицепремиера Дончев?
Заповядайте, господин Запрянов.
ЗАМЕСТНИК-МИНИСТЪР АТАНАС ЗАПРЯНОВ: Благодаря Ви, господин Председател.
Уважаеми господин Вицепремиер, уважаеми дами и господа народни представители! Във връзка с предложения от Министерския съвет с Решение № 366 от 30 май 2018 г. Проект на закон за киберсигурност от страна на Министерството на отбраната на Република България изразяваме следните мотиви в подкрепа на Законопроекта:
Първо, Проектът на закон за киберсигурност има за основна конкретна цел да бъдат въведени в българското законодателство изискванията на Директива 2016/1148 на ЕС, на Европейския парламент и Съвета от 6 юли 2016 г. относно мерките за високо общо ниво на сигурност на мрежите и информационните системи в Съюза. Доколкото това е първият систематизиран нормативен документ, както отбеляза и вносителят – вицепремиерът, в българското законодателство в областта на киберсигурността, то и неговият обхват е неизбежно свързан с определяне на цялостната база за защита на обществото, гражданите, бизнеса и управлението на държавата в киберпространството, както и осигуряване на устойчивост на развитието в сферата на цифрово общество, икономика и единен цифров пазар в ЕС. В този аспект Законопроектът покрива и трите основни стълба според Европейската стратегия за киберсигурност и приетата през месец юли 2016 г. наша, Национална стратегия за киберсигурност „Киберустойчива България 2020“, а именно сигурност на мрежите и информационните системи, правоприлагане, противодействие на киберпрестъпността и киберотбрана.
Доколкото киберотбраната е част от нашата дейност в Министерството на отбраната, тя е разгледана в нейния цялостен и съвременен аспект като основен елемент, стълб на националната сигурност и ангажимент на държавата към гражданите, бизнеса и взаимодействието, и задължението на Република България към съюзниците и партньорите от НАТО и Европейския съюз. По-конкретно киберотбраната се изразява в изграждане на комплекс от способности за защита и активно противодействие на кибератаки и хибридни въздействия върху системите за управление на страната и въоръжените сили във военно положение, извънредно положение или положение на война и върху стратегически обекти от значение за националната ни сигурност.
Трето, Проектът на закон предвижда и редица нови задължения, респективно правомощия на държавните органи, един от които е министърът на отбраната. В тази връзка е необходимо да отбележим, че определени задачи по осъществяване на киберотбраната са възложени на въоръжените ни сили с чл. 56, т. 3 от Закона за отбраната и въоръжените сили на Република България, като текстовете в предложения законопроект постигат функционално и терминологично единство и в двата закона. Предвидените в Законопроекта дейности и отговорности съответстват на повишените изисквания към защитата на киберпространството и необходимостта от развитие на адекватни на съвременните киберзаплахи способности, а именно: изграждане и развитие на способности за киберотбрана; за защита на системи за управление на отбраната и въоръжените сили и тяхното ресурсно осигуряване; координация и взаимодействие във връзка с изпълнението на поетите ангажименти за колективна отбрана на разпределеното киберпространство с НАТО и Европейския съюз; включване на допълнителни изисквания, свързани с киберотбраната и устойчивостта на работа на мрежите и системите за управление в допълнение и надграждане на поставените такива по отношение на мрежовата и информационната сигурност, както и мрежите, предписани от ДАНС, във връзка със защита на критичната инфраструктура и обектите от значение за националната сигурност; изграждане на допълнителен национален капацитет и киберрезерв.
По тези норми на Закона Министерството на отбраната ще планира съответните структурни изграждания и ресурсно осигуряване.
В Законопроекта са дефинирани и функции на началника на отбраната, които са нови, по поддържането на способности за киберотбрана; за защита на системи за управление на отбраната и въоръжените сили; интегрирането на задачите по киберотбрана като елемент от стратегическото планиране в плановете за изграждане на отбранителни способности и в плановете за операции на въоръжените ни сили; провеждане на съвместни национални и международни учения и тренировки.
Не на последно място, считаме, че предвидените дейности и отговорности в Законопроекта съответстват на съвременните условия и заплахи, както и на вижданията и изискванията за развитието на способности за киберотбрана в НАТО и Европейския съюз.
На основание гореизложеното Министерството на отбраната изразява своята пълна подкрепа за Проекта на закон за киберсигурност. Благодаря Ви за вниманието.
ПРЕДС. ЦВЕТАН ЦВЕТАНОВ: Благодаря Ви и аз.
Заповядайте.
ЗАМЕСТНИК-МИНИСТЪР ДИМИТЪР ГЕНОВСКИ: Уважаеми господин Председател, уважаеми господин Вицепремиер, дами и господа народни представители! В съгласувателната процедура по чл. 34, ал. 1 от Устройствения правилник на Министерския съвет и неговата администрация съгласувахме Проект на решение на Министерския съвет за одобряване на Законопроект за киберсигурност, като направихме забележки от редакционен характер, както и такива с цел подобряване на някои текстове в приложенията към Проекта на закон с цел постигане на по-голяма съгласуваност с текстовете на съществуващите нормативни актове, регламентиращи дейността на операторите на съществени услуги в сектор „Транспорт“. Въпросните предложения са взети предвид от авторите на Законопроекта и в тази връзка подкрепяме безусловно предложението за Закон за киберсигурност, внесено от господин Томислав Дончев. Благодаря Ви.
ПРЕДС. ЦВЕТАН ЦВЕТАНОВ: Благодаря Ви и аз.
Друг ще вземе ли отношение?
Господин Темелков.
АТАНАС ТЕМЕЛКОВ: Готови сме да отговаряме на въпроси, господин Председател.
ПРЕДС. ЦВЕТАН ЦВЕТАНОВ: Колегите от ДАНС, от Министерството на вътрешните работи ще вземат ли отношение, или да отворим дебата?
Колеги народни представители, заповядайте за отношение.
Докато помислите, ще кажа няколко думи.
Въпросите за киберсигурността са с ключово значение за развитието на мрежовите и информационните системи през ХХІ век. Именно поради тази причина защитата от киберкризи, защитата на сигурността на мрежите и информационните системи беше една от най-важните теми по време на Българското председателство на Съвета на Европейския съюз през 2018 г.
Мрежите, информационните системи и услугите имат изключително важна роля в обществото. Тяхната надеждност и сигурност са от основно значение за икономиката, обществените дейности и за функционирането както на вътрешния, така и на международния пазар. Тези системи са подложени на риск от недобронамерени действия, имащи за цел да повредят системите и да прекъснат тяхната работа. Това означава значителни финансови загуби за потребителите, лишаване от доверие, означава да причинят големи вреди както на страната ни, така и на икономиката на Съюза. Това е причината да бъде приета Директива на Европейския съюз от 2016 г. – 1148, на Европейския парламент и на Съвета, която е първото всеобхватно законодателство в областта на мрежовата и информационна сигурност в Европейския съюз и обхваща проблематиката в този сектор на всички нива – държава, граждани, фирми, бизнес организации, доставчици и потребители на услуги, органи, координация, взаимодействие и прочее.
Законопроектът за киберсигурност e ефективен отговор на необходимостта от усъвършенстване, систематизиране и прилагане на нов, модерен подход за преодоляване на предизвикателствата в европейски и международен мащаб. Със Законопроекта ще се създаде възможност и за по-пълноценно използване възможностите на цифровия свят, социалните медии, електронното правителство, електронното обучение, електронното здравеопазване. Ето защо приемането му е изключително важна стъпка в осъществяване и усъвършенстване сигурността на киберсистемите.
Тук обаче бих искал да добавя и някои забележки, в процеса може би ще бъдат установени повече. Мога да кажа за една, която прави впечатление и която, между другото, сме коментирали в много други законопроекти, предлагани за обсъждане в нашата и в други комисии в българския парламент.
В Закона, който е пред всеки от народните представители, в чл. 2, ал. 6 е записано: „Изискванията и стандартите, на които трябва да отговарят мрежите и субектите по ал. 1, за въвеждане, изпращане, обработка, достъп, обмен, съхраняване и архивиране на данни, както и общите мерки за сигурност, които трябва да предприемат, се определят с наредба на Министерския съвет“. Тук трябва да се върнем и към Законопроекта.
Колегите от Държавна агенция „Национална сигурност“, които участваха активно по Закона за мерките срещу изпирането на пари, знаете, че имаше много сериозен коментар от страна на институции, на неправителствени организации за това, че всъщност наредбата дава допълнителна възможност по всяко време Министерският съвет да приема съответната промяна на обхвата на един законопроект. Точно в тази връзка смятаме, че критериите следва да бъдат дефинирани в Закона, а в наредбата може да се регламентират редът и условията за прилагането им. Липсата на ясни законови критерии може да разшири неоправдано кръга на субектите, без да осъществява на практика дейност или услуги на описаните по чл. 2 лица.
При регламентацията за създаване на екипи за реакция при инциденти не са определени дори минималните изисквания за професионална квалификация, образование и стаж на участниците, а отговорността им е голяма. Редактиране на дефинициите в Допълнителните разпоредби на Закона, които са двусмислени и неясни.
Точно затова, след като бъде подложен на гласуване – убеден съм, че Законопроектът ще бъде приет на първо четене в нашата комисия, разбира се, след това и в пленарната зала, както сме практикували и по други законопроекти, ще направим работна група със съответните референти, които са в нашата комисия, с други експерти. Тук може би вицепремиерът Томислав Дончев ще ни съдейства за осигуряването на експерти, които да участват активно с колегите от парламента, за да знаем, когато Законопроектът бъде подложен на второ гласуване, че приемаме текст, максимално възприет от всички парламентарни групи в българския парламент, да приемем, че това е Законопроектът, който действително ще отговори на очакванията на обществото, на фирмите, на бизнеса, и да защитим страната ни. Това е, което исках да споделя.
Колеги, някой ще вземе ли отношение?
Заповядайте, господин Янков.
КРАСИМИР ЯНКОВ: Уважаеми господин Председател, ще задам няколко въпроса, и то към вицепремиера Дончев, тъй като виждам, че явно е под негово ръководство. Внимателно слушах неговото презентиране – той беше коректен да каже, че се използва формално въвеждането на Директивата, защото в голяма степен текстовете са плод на виждането на различните институционални звена, които са участвали в работата.
Понеже е изключително актуално, не само в този мандат, а от участието ми в Народното събрание от 2013 г., се опитвам да обясня, че изключително важна не само в работата на Министерството на вътрешните работи, но и на всички звена, които имат ангажираност към прилагането и спазването на законодателството, е превантивната работа – превенция и пресичане. В мотивите виждам, че е отбелязано „създаване на условия за изграждане на ефективна система за превенция“ и вече реактивните дейности, които са – борба с кибератаките. Но ме интересува какво е виждането на правителството именно в частта „Изграждане на система за превенция“, като можете да го разширите – и пресичане.
Защото, уважаеми дами и господа народни представители, представители на изпълнителната власт и всички присъстващи гости, включително и със снощния инцидент в Ботевград, всички в момента се интересуват от реактивните действия. А трябва да ни интересува превантивната дейност на институционалните звена, за да не се допускат подобни случаи. Простете, че смесвам двата случая, но съм афектиран от това тежко криминално деяние, извършено в Ботевград.
В случая – отбелязано е, че с този закон се създават условия. Има ли анализ: какви точно условия, каква е тази система в намеренията на правителството и доколко е направен анализ за ефективността, защото е записано „ефективна система за превенция“?
Иначе не подценявам самата борба с кибератаките, които според мен в бъдеще ще се развиват не само от гледна точка на иновативност, но и във връзка с развитието на технологиите. Много е важно, изключително важно е държавата и институциите да са изпреварващи по отношение на злонамерените действия, свързани с кибератаки.
Второ, в мотивите е записано: „ограничаване на транснационалния характер на инцидентите“. Не знам как го виждате това ограничаване, тъй като пространството е свободно за целия свят. Мисля, че може да бъде развито и в рамките на конкретни текстове в Закона. Или по-скоро въпросът е: как виждате взаимодействието с другите институционални звена в Европейския съюз и звената, които са част от партньорските служби, именно от гледна точка на създаване на стандарти за минимални изисквания?
Вероятно ще има необходимост (това е малко в противоречие с онова, което господин Цветанов каза, и в същото време е в подкрепа) – подзаконови нормативни актове според мен може да има, които са във връзка с динамично променена среда за сигурност именно по отношение на кибератаки. Тук трябва да се даде възможност, евентуално да се помисли – с бързо съгласуване между отговорното звено Държавна агенция „Национална сигурност“ и МВР по отношение на бързи мерки, които да са с характер на завишаване на тези минимални изисквания за сигурност.
В частта наредба, като подзаконов нормативен акт по чл. 2, ал. 6, мисля, че господин Цветанов е прав – българските граждани трябва да знаят и ние трябва да сме информирани, вземайки решение при гласуването на конкретните текстове, всъщност какво стои зад, какви са намеренията за подзаконовите нормативни актове. Благодаря Ви.
ПРЕДС. ЦВЕТАН ЦВЕТАНОВ: Благодаря Ви.
Ако не възразявате, да видим дали има един-два въпроса.
Господин Иванов, заповядайте.
ИВАН ВАЛЕНТИНОВ ИВАНОВ: Уважаеми господин Председател, уважаеми господин Вицепремиер, уважаеми гости, уважаеми колеги! Имам няколко въпроса конкретно по предложения законопроект.
Първият ми въпрос е: каква част от предложения законопроект съдържа Европейската директива, която транспонираме, и каква част са тук създадени текстове, на които Вие сте автор, господин Дончев, или ръководеното от Вас министерство, тъй като Вие представихте Законопроекта?
Вторият ми въпрос е: кой от трите варианта за въздействие считате за по-приложим – нулев, първи или втори, по отношение както на разходи, така и на въздействие върху структури, върху които Законът ще има някакво последващо действие? Дали сте три варианта – много важно е кой от трите е по-работещ според Вас и на какво ще се отрази.
Считате ли, че тази директива можеше да бъде транспонирана с изменение на други действащи в момента закони, а не със създаването на нов, който ни предлагате? Вие изчерпателно ги изредихте още в началото на своето изложение.
Считате ли, че към днешна дата функцията на тези структури, които се грижат за киберсигурността, е неефикасна към настоящия момент и текстовете, които се предлагат, ще подобрят тази ефикасност? Благодаря Ви.
ПРЕДС. ЦВЕТАН ЦВЕТАНОВ: Колеги, има ли други народни представители, които искат да вземат отношение? Не.
Заповядайте, господин Дончев.
ЗАМЕСТНИК МИНИСТЪР-ПРЕДСЕДАТЕЛ ТОМИСЛАВ ДОНЧЕВ: Уважаеми господин Председател, първо по отношение на Вашия коментар. Както е известно от практиката и от теорията, съвършено законодателство няма. Всички усилия текстът да стане по-близо до изискванията, особено в режим на консенсус, би трябвало да бъдат приветствани и подкрепяни. Така че каквото зависи от мен – мобилизация на всякакъв тип представители, експерти от различни ведомства, те ще съдействат за работата на работната група.
Един кратък принципен коментар – това е вечен доктринален спор: каква част от материята би било редно да се уреди на ниво закон, каква – на ниво подзаконова нормативна база? Едното дава шанс за повече гъвкавост и реакция във времето, другото означава по-стабилно фондиране на правилата във времето. Приемам, че по темата има нужда от допълнителен коментар, който на експертно ниво може да бъде свършен в работната група.
Моля да имате предвид, че макар транспонирането на Директивата да е концептуалното ядро на текста, той все пак отразява известна доза компромис между различните виждания на ведомствата, които са участвали при разработката и които са давали становища по отношение на текста.
Започвам поред на зададените въпроси.
По отношение на превенцията – няма как Законът да урежда текстове на техническо или на методическо ниво, свързани с превенцията. Принципно съм съгласен, че по-добре да се инвестира в превенция, отколкото в покриване на щетите – това е универсален принцип и той не е свързан само със сферата на киберсигурността. Тук Законът има определени достижения, доколкото включително регламентира персоналната отговорност на ръководителя, което до момента не беше тема. Тези, които имат опит от практиката, знаят, че това е един от основните въпроси.
По отношение на всякакви по-конкретни въпроси, свързани с нужди, анализ, инвестирани средства. Понеже анализи има правени, повече от един, включително имаме и на най-критичните ведомства – разбирайте примерно Министерския съвет, Външното министерство, колегите от Отбраната – там материята е малко по-специфична, има правени информационни одити, ако уважаемата комисия проявява интерес към който и да било от тези документи, тя може да бъде запозната с уговорката, че съобразно изискванията на Закона това е редно да се случи на закрито заседание. Тук има куп детайли, които няма как да бъдат коментирани в този формат.
Говорейки за превенцията, това е непрекъснато надпреварване за нивото на технологична съоръженост от този, който защитава, спрямо този, който атакува. Тук иновациите – в лошия смисъл на думата, понякога са въпрос на дни. Това, което е вършело работа предишния месец или преди шест месеца, невинаги е актуално и невинаги може да осигури 100-процентова защита в момента.
Освен всичко друго, това е отвъд формата на Закона – става дума, със съжаление го казвам, за пари. Понякога става дума за много пари. Най-новите решения, които гарантират по-високи нива на информационна сигурност, за съжаление, са много по-скъпи от тези, които се прилагаха преди пет или преди шест години. Включително такъв тривиален въпрос е подмяната на хардуера и слагането на нови операционни системи – гарантира по-високо ниво на защита и в същото време генерира допълнителни разходи.
По отношение на конкретния въпрос, свързан с транснационалния характер на инцидентите. Ще си позволя да насоча вниманието Ви към чл. 15, където детайлно е уредена тази материя, включително и със създаване на национално единно звено за контакт, което има точно тази функция – взаимодействие със същите звена за контакт в другите държави членки при наличие на такива инциденти.
По отношение на изискванията за сигурност – позволете ми да се върна към това, което казах няколко изречения преди това, те няма как да бъдат от техническо естество. В нормативен акт, дори в подзаконов нормативен акт няма как да описваме конкретни технически решения. Това трябва да бъдат изисквания, на които трябва да отговаря съответната система, защото в най-лошия случай техническите решения се променят на една или две години.
Трудно ми е да правя лингвистичен анализ каква част от текста пряко транспонира Директивата. Краткият отговор би трябвало да е 100%, защото той отразява духа на Директивата. Разбира се, има адитиви, има конкретни текстове по отношение на МВР, по отношение на Министерството на отбраната, които уреждат, да кажем, различни вътрешноведомствени въпроси на това или на друго ведомство, в което няма нищо лошо.
Още повече, опитвайки се да отговоря на следващия въпрос – дали този ефект би бил постигнат, ако ние се опитаме да ремонтираме дългия списък с актове, които коментирах преди малко, според мен – не. Включително една от претенциите, които имам, че този текст до голяма степен представлява кодификация, тоест събиране на всичко на едно място, за да може всяка заинтересована страна, всеки, който е длъжен да го прилага, от едно място да може ясно и по безспорен начин да разбере какви са му ангажиментите, задълженията и така нататък.
Дали е неефективна системата за киберзащита в България – никога не бих направил подобна квалификация. Всяка от службите, която има отговорности към процеса, а те са много – горе-долу равен на броя текстове, които изредих преди малко, има определени функции и ангажименти, и ги изпълнява. Ако има недостатъци, те са на ниво конкретни ведомства, които по причина или липса на заинтересованост в административния ръководител, или липса на достатъчно пари не са взели достатъчно адекватни мерки, за да си гарантират сигурността на системата. Заедно с колегите непрекъснато работим такива случаи да няма.
Считам, че с приемането на закон с подобна архитектура като минимум въвеждаме ред, организация и яснота кой какво трябва да прави в подобна ситуация.
Въпросът Ви за сценариите предполагам, че се базира на оценката за въздействието. Не съм сигурен, че мога да заредя файла в момента. (Реплика от народния представител Иван Валентинов Иванов при изключени микрофони.)
Напълно е възможно, но текстът не е пред мен в момента – работя по не знам колко нормативни актове, трудно е да си спомням оценката на въздействието за всеки. Обичайно успявам да реагирам дори на ниво технически детайл, но моля да ми позволите да се запозная с текста и тогава да направя коментар. Примерно на следващото заседание на Комисията да предоставя по-добър анализ. Не мога да помня – не само всички членове, че и оценката на въздействието към всеки документ.
ПРЕДС. ЦВЕТАН ЦВЕТАНОВ: Само един коментар.
Може би това ще бъдат част от въпросите, които ще се задават в пленарната зала при дебата, когато се води – обсъждането преди гласуване.
Заповядайте, господин Иванов.
ИВАН ВАЛЕНТИНОВ ИВАНОВ: Благодаря Ви, господин Председател.
Позволявам си да взема реплика, и неслучайно, по отношение на трите варианта, защото още в своето изложение направихте коментар, че предложеният законопроект няма да има финансово изражение, тоест няма да има никакъв ефект по отношение на разходите. За съжаление, в трите варианта намирам три различни опции, като в единия също има вариант за разходи, включително засегнатите лица, които са надолу. Затова исках да разбера кой според Вас е по-приложимият, тъй като във варианта, в който ще има разходи за засегнати лица, вярвам, че ще бъдат доста сериозни. Сам разбирате, че една промяна, както казахте, в софтуера, в хардуера, не е даром – доста скъпоструващи действия са, включително за държавната администрация говоря.
Предполагам, че неслучайно сте дали три варианта, защото давайки само един вариант, е ясно в каква посока се върви. Давайки три варианта, е много разтегливо понятие. Това дали ще има разходи или няма и кой вариант ще се случи, до голяма степен трудно може да формира при нас окончателно решение – да подкрепим или да не подкрепим този законопроект, защото наличието на допълнителна администрация, каквато неизменно ще се появи в процеса на прилагането на Закона, няма как да не доведе до допълнителни финансови разходи. Това е пределно ясно и на Вас – Вие сте достатъчно запознат, и в други комисии сме коментирали по тези теми. Още повече, от Законопроекта и от Вашите отговори очаквах да разбера, защото в оценката за въздействие и за съответствие с Европейската директива има посочени текстове, които не ги транспонираме поради причини, написани там. Тоест транспониращата страна отказва поради незадължителност на този характер – Вие казвате 100%. Вярно е, че доста голям е текстът. Признавам си, че не съм се запознал на 100% точно кои текстове на Директивата не сте вписали в Законопроекта и не сте транспонирали, но е записано точно и ясно – аз съм го прочел там. Вината може би е моя, че не съм се запознал с оригиналния текст – запознах се с това, което ни предоставяте. Още повече, не става ясно какво ще се случи с вече действащи текстове и разпоредби, които работят – както службите, така и отделните министерства, по отношение на киберсигурността. Дали няма да има ред противоречия, или ще трябва адхок да променяме и тях, защото в Преходните и заключителните разпоредби не виждам отмяна или промяна на действащи текстове в други закони. Очаквах да направим пълен анализ, тъй като за такъв структуроопределящ закон, който на нас ни се предоставя, би трябвало да е направен анализ на цялото съществуващо законодателство към днешна дата, за да не изпадаме в противоречие с вече действащи текстове и да затрудняваме работата на крайните потребители на този закон. Благодаря Ви.
ПРЕДС. ЦВЕТАН ЦВЕТАНОВ: Благодаря Ви и аз.
Заповядайте, господин Дончев.
ЗАМЕСТНИК МИНИСТЪР-ПРЕДСЕДАТЕЛ ТОМИСЛАВ ДОНЧЕВ: По отношение на опасенията, свързани със създаване на хаос и релацията с вече съществуващи закони, позволявам си да насоча вниманието Ви към § 9, където ясно се посочва в кои от съществуващите в момента актове се правят промени. Мисля, че тук повод за опасения няма.
По отношение на допълнителния товар върху публичните разходи, върху бюджета, ако следваме този стандарт, няма как приемането на един закон да не предполага допълнителни разходи, най-малкото като имаме предвид отпечатването на хартия и административния процес по приемането му в Министерския съвет и Народното събрание. Ако тръгнем по тази линия, няма текст, който да не предполага допълнителни разходи.
Мерките са преди всичко организационни, те имат за цел създаване на ред и адекватна организация. Мерките, които трябва да бъдат взети на ниво специализирани служби и на ниво ведомство за адекватна киберзащита, са други и те няма как детайлно да бъдат уредени в Закона, защото, както казах преди малко, това е въпрос на технически изисквания. Можем да продължим и на ниво казуистика, и на ниво технически детайл, ако този разговор е интересен.
ПРЕДС. ЦВЕТАН ЦВЕТАНОВ: Заповядайте, господин Темелков.
АТАНАС ТЕМЕЛКОВ: Благодаря Ви.
Искам да допълня само няколко думи във връзка с транспонирането на Директивата. Във връзка с Председателството и възможността наши колеги да работят за известно време в Комисията използваме това време текстът на Закона да бъде прегледан от колеги, които са работили по Директивата. Оценката е, че на 100% текстовете, които е необходимо да бъдат транспонирани в този закон, са направени. (Реплика от народния представител Иван Валентинов Иванов при изключени микрофони.)
Пише, че има текстове, които не е необходимо да бъдат транспонирани, тъй като…
ИВАН ВАЛЕНТИНОВ ИВАНОВ: Не е 100% транспонирана Директивата.
АТАНАС ТЕМЕЛКОВ: Добре, 99.
ЗАМЕСТНИК МИНИСТЪР-ПРЕДСЕДАТЕЛ ТОМИСЛАВ ДОНЧЕВ: Не, въпросът беше: каква част от Закона е…
ПРЕДС. ЦВЕТАН ЦВЕТАНОВ: Моля Ви, не влизайте в диалог. Председателят дава думата. Това не е Министерският съвет. Тук е българският парламент и опозицията бди веднага за реда и за дисциплината.
Заповядайте, господин Запрянов.
ЗАМЕСТНИК-МИНИСТЪР АТАНАС ЗАПРЯНОВ: По отношение на разходите – така или иначе няма как да ги дефинираме, те ще бъдат динамични. Ние вече правим разходи – създаваме структури, създаваме софтуер, обучаваме персонал. Тоест Законът ни дава ръководните правила, по които ще се борим киберсигурността да осигурим. Няма как да изчислим еднократно едни пари и с тези пари решаваме въпроса за киберсигурността. Това ще бъде динамично състояние, както каза вицепремиерът, и ние ще се борим от година в година, инвестирайки в това. Това го правим вече и без закон. Благодаря Ви.
ПРЕДС. ЦВЕТАН ЦВЕТАНОВ: Ако ми позволите, господин Запрянов, да Ви попитам, след като взехте думата: системата Странджа докъде стигна?
ЗАМЕСТНИК-МИНИСТЪР АТАНАС ЗАПРЯНОВ: Системата Странджа свързва с оптика нашите отбранителни обекти. Не е завършена, но много голяма част е пред завършване.
ПРЕДС. ЦВЕТАН ЦВЕТАНОВ: Покритие на цялата страна.
ЗАМЕСТНИК-МИНИСТЪР АТАНАС ЗАПРЯНОВ: Почти.
ПРЕДС. ЦВЕТАН ЦВЕТАНОВ: А системата ТЕТРА? От Министерството на вътрешните работи…
ЗАМЕСТНИК-МИНИСТЪР АТАНАС ЗАПРЯНОВ: Тя е по-развита от тази на Отбраната.
ПРЕДС. ЦВЕТАН ЦВЕТАНОВ: А описа ли правителството вариант тези две системи да бъдат под една или друга форма интегрирани, за да се покрие цялата държава и да гарантираме действително сигурността при преноса на данни от различните системи?
ЗАМЕСТНИК-МИНИСТЪР АТАНАС ЗАПРЯНОВ: Това се обсъжда между двете министерства, господин Председател. Въпросът е, че трябва да се инвестира в софтуерен продукт, който да направи транслация между ТЕТРА милитари, която има Отбраната, и ТЕТРА имърджънси, която има МВР. Или казано на фирмен език, „Моторола“ с „Нокиа“ трябва да бъдат спрегнати. Това е възможно да се направи чрез инвестиция. Благодаря Ви.
ПРЕДС. ЦВЕТАН ЦВЕТАНОВ: Мисля, че това би дало по-голяма защитеност на всички институции, които имат възможност да си комуникират и да обменят данни. Не знам това дали представлява интерес, но мисля, че може да се анализира, както казахте, господин Запрянов.
КРАСИМИР ЯНКОВ: …Смесвате разговора.
ПРЕДС. ЦВЕТАН ЦВЕТАНОВ: Това беше между другото.
КРАСИМИР ЯНКОВ: Съвсем между другото – в точка „Разни“. Конкретно по Законопроекта не се отнася, нали?
ПРЕДС. ЦВЕТАН ЦВЕТАНОВ: По Законопроекта, колеги, изчерпахме изказванията.
Който е за предложения законопроект, представен от вицепремиера Томислав Дончев и колегите от Министерския съвет, моля да гласува.
За – 11, против (не се съобщават гласове „против“), въздържали се – 6.
Законопроектът е приет на първо четене в Комисията.
Пожелавам успех! Благодарим за вниманието и за ангажимента Ви да представите Законопроекта. Успех!
Колеги, преминаваме към точка втора „Разни“.
Имате ли някакви въпроси? Няма.
Поради изчерпване на дневния ред закривам днешното редовно заседание. Благодаря Ви.
(Закрито в 15,15 ч.)
ПРЕДСЕДАТЕЛ:
Цветан Цветанов
