ДОКЛАД

Относно: Законопроект за киберсигурност, внесен от Министерски съвет на 30.05.2018 г., № 802-01-18, приет на първо гласуване на 27.06.2018 г.

---

ЧЕТИРИДЕСЕТ И ЧЕТВЪРТО НАРОДНО СЪБРАНИЕ
КОМИСИЯ ПО ВЪТРЕШНА СИГУРНОСТ И ОБЩЕСТВЕН РЕД


ДОКЛАД

Относно: Законопроект за киберсигурност, внесен от Министерски съвет на 30.05.2018 г., № 802-01-18, приет на първо гласуване на 27.06.2018 г.

Проект!
Второ гласуване!


ЗАКОН
ЗА КИБЕРСИГУРНОСТ

Глава първа
ОБЩИ ПОЛОЖЕНИЯ

Предмет

Чл. 1. (1) Този закон урежда дейностите по организацията, управлението и контрола на киберсигурността, в т. ч. всички дейности и проекти по киберотбрана и по противодействие на киберпрестъпността.
(2) Този закон определя националните и специализираните компетентни органи в областта на киберсигурността, както и техните правомощия и функции.
(3) Този закон урежда дейностите по предприемане на необходимите мерки за постигане на високо общо ниво на мрежова и информационна сигурност.

Обхват
Чл. 2. (1) С този закон се определят изискванията към следните лица, наричани за краткост „субекти“:
1. операторите на съществени услуги, доставчиците на цифрови услуги и административните органи - за всеки сектор, подсектор и услуги, посочени в приложения № 1 и 2;

2. лицата, осъществяващи публични функции, които не са определени като оператори на съществени услуги по смисъла на т. 1, когато тези лица предоставят административни услуги по електронен път;
3. организациите, предоставящи обществени услуги, които не са определени като оператори на съществени услуги и доставчици на цифрови услуги по смисъла на т. 1, когато тези лица предоставят административни услуги по електронен път.
(2) При определянето на операторите на съществени услуги се вземат предвид следните критерии:
1. субектът да предоставя съществени услуги за поддържането на особено важни обществени и/или стопански дейности, и
2. предоставянето на тази съществена услуга да зависи от мрежите и информационните системи на субектите, и
3. инцидентите в мрежовата и информационната сигурност да имат значително увреждащо въздействие върху предоставянето на тази услуга.
(3) Когато субект предоставя услуга по смисъла на ал. 2, т. 1 в две или повече държави членки, органът по чл. 14 провежда консултации със съответните държави преди вземането на решение относно определянето на субектите.
(4) Операторите на съществени услуги трябва да спазват специалните изисквания за мрежова и информационна сигурност, които този закон им вменява единствено по отношение на услугите, които се считат за съществени.
(5) Когато в правен акт на Европейския съюз и/или национален нормативен акт, който е специален за конкретен сектор, включително онези от тях, които се отнасят за юрисдикцията, е предвидено операторите на съществени услуги или доставчиците на цифрови услуги да гарантират сигурността на своите мрежи и информационни системи или да уведомяват за инциденти, се прилагат разпоредбите на специалния за сектора правен акт на Съюза, при условие че изискванията са най-малкото равностойни като резултат на задълженията, предвидени в този закон.
(6) Изискванията и стандартите за сигурност, на които трябва да отговарят мрежите и информационните системи на субектите по ал. 1 за въвеждане, изпращане, обработка, достъп, обмен, съхраняване и архивиране на данни, както и общите мерки за сигурност, които трябва да се предприемат, се определят с наредба на Министерския съвет.
(7) Наредбата по ал. 6 не се прилага за ведомствата и функциите им по чл. 3, т. 2.
Чл. 3. (1) Този закон не се прилага:
1. за автоматизирани информационни системи или мрежи за обработка на класифицирана информация по смисъла на раздел V, глава шеста от Закона за защита на класифицираната информация;
2. за мрежите и информационните системи на Министерството на отбраната, Министерството на вътрешните работи, Държавна агенция „Национална сигурност“, Държавна агенция „Разузнаване“, Държавна агенция „Технически операции" и Националната служба за охрана, несвързани с предоставянето на административни услуги по електронен път и обмен на електронни документи между административните органи. Изискванията, управлението и контролът на тези мрежи и информационни системи се осъществяват при условия и по ред, определени от съответните ръководители;
3. по отношение на предприятия, предоставящи обществени електронни съобщителни мрежи и/или услуги по смисъла на Закона за електронните съобщения, с изключение на изискванията по чл. 11, ал. 4,
чл. 12, ал. 2 и чл. 17, ал. 3;
4. за доставчици на удостоверителни услуги по смисъла на Регламент (ЕС) № 910 от 2014 г. на Европейския парламент и на Съвета от
23 юли 2014 година относно електронната идентификация и удостоверителните услуги при електронни трансакции на вътрешния пазар и за отмяна на Директива 1999/93/ЕО (ОВ, L 257, 28.8.2014 г.);
5. за микро- и малките предприятия на доставчици на цифрови услуги по смисъла на Препоръка 2003/361/ЕО на Комисията от 6 май 2003 г.
(2) За субектите по чл. 2, ал. 1, т. 2 и 3 се прилагат само разпоредбите на глави втора и седма.

Регистър

Чл. 4. (1) Председателят на Държавна агенция „Електронно управление“ създава, води и поддържа регистър на определените субекти по чл. 2, ал. 1, т. 1, както и на самите съществени услуги. Регистърът съдържа:
1. брой и вид на субектите и услугите;
2. сфера на дейност;
3. брой потребители, разчитащи на услугата, предоставяна от субекта;
4. географски обхват на областта, която може да бъде засегната от даден инцидент;
5. видове съществени услуги, предоставяни от субектите по чл. 2, ал. 1, т. 1.
(2) Информацията по ал. 1 се поддържа в актуален вид в регистъра.
(3) Воденето, съхраняването и достъпът до регистъра се уреждат с наредбата по чл. 2, ал. 6.
(4) Регистърът по ал. 1 не е публичен.

Управление и организация на системата за киберсигурност

Чл. 5. Управлението и организацията на системата за киберсигурност се осъществява от Министерския съвет. За целта той създава и администрира Съвет по киберсигурност и приема с решение Национална стратегия за киберсигурност и Национална стратегия за мрежова и информационна сигурност.

Предложение от народния представител Славчо Велков и група народни представители:
Създава се чл. 5а:
„Чл. 5а. Президентът на Републиката получава цялостна информация за състоянието и развитието на националната система
за киберсигурност и устойчивост. При обявяване на война,военно или друго извънредно положение Президентът ръководи дейностите
по осигуряване на киберустопчивост на държавното и военното управление."



Съвет по киберсигурност

Чл. 6. (1) С постановление Министерският съвет създава Съвет по киберсигурност.
(2) Съветът по киберсигурност е нещатен постоянен консултативен орган към Министерския съвет, който:
1. изготвя проекти на позицията на Република България пред международни институции и организации по въпросите на киберсигурността и я предлага за одобряване на Съвета по сигурността към Министерския съвет;
2. предлага на Министерския съвет Национална стратегия за киберсигурност, пътната карта по нея, както и изготвя тяхната периодична актуализация;
3. следи тенденциите на киберзаплахите, рисковете, методите за противодействие и за развитието на необходимия капацитет, приоритетите за изграждането и развитието на човешки, технологични, инфраструктурни, финансови и организационни компоненти, и при необходимост внася предложения за решения пред Съвета по сигурността към Министерския съвет;
4. предоставя периодичен доклад за състоянието на сигурността в киберпространството, развитието на рисковете и обобщена оценка на достигнатото ниво на зрялост за киберустойчивост пред Министерския съвет чрез Съвета по сигурността към него;
5. осъществява взаимодействие с националните компетентни органи по чл. 14, регулаторни органи и с други институции;
6. дава предложения за хармонизиране и координиране на Секторните политики за постигане на киберустойчива икономика и общество;
7. предлага общите принципи и изисквания към компонентите на Националната система за киберсигурност за утвърждаване от Съвета по сигурността към Министерския съвет;
8. идентифицира и организира провеждането на неотложни, координирани мерки в областта на киберсигурността;
9. предлага национален план за управление на киберкризи за утвърждаване от Министерския съвет.


Стратегии
Чл. 7. (1) Националната стратегия за киберсигурност е стратегическа рамка на политиката за киберсигурност с обхват:
1. цели, принципи, приоритети;
2. области на действие и мерки:
а) национална система за киберсигурност и устойчивост;
б) мрежова и информационна сигурност;
в) противодействие на киберпрестъпността;
г) киберотбрана;
д) киберразузнаване;
3. взаимодействие между държава, бизнес и общество;
4. развитие и подобряване на регулаторната рамка;
5. повишаване на осведомеността, знанията и компетентностите; стимулиране на изследванията и иновациите в областта на киберсигурността;
6. международно взаимодействие;
7. кибердипломация;
8. взаимодействие на техническо, оперативно и стратегическо (политическо) ниво.
(2) Националната стратегия за мрежова и информационна сигурност е стратегическа рамка на политиката за мрежова и информационна сигурност с обхват:
1. цели и приоритети относно мрежовата и информационната сигурност;
2. управленска рамка за постигане на целите и приоритетите относно мрежовата и информационната сигурност, включително ролите и отговорностите на държавните органи и на съответните други участници;
3. мерки във връзка с подготвеността, реагирането и възстановяването в мрежите и информационните системи, включително сътрудничеството между публичния и частния сектор;
4. съществена информация за образователните и обучителните програми и програмите за повишаване на осведомеността във връзка с мрежовата и информационната сигурност;
5. посочване на плановете за научноизследователска и развойна дейност относно мрежовата и информационната сигурност;
6. план за оценка на риска с цел набелязване на рисковете;
7. списък на различните участници в изпълнението на Националната стратегия относно мрежовата и информационната сигурност.
(3) Национална стратегия за мрежова и информационната сигурност се разработва винаги освен в случаите, когато в Националната стратегия за киберсигурност се съдържат изискванията на ал. 2.

Предложение от народния представител Славчо Велков и група народни представители:
В чл.7, ал. 1 в изречение първо, след думата „киберсигурност" се поставят кавички и се добавя „Киберустойчива България 2020"'.

Национален координатор по киберсигурност

Чл. 8. (1) Министър-председателят назначава национален координатор по киберсигурност по предложение на Съвета по сигурността към Министерския съвет.
(2) Националният координатор по киберсигурност:
1. изпълнява функциите на секретар на Съвета по киберсигурност и ръководи разработването и актуализирането на Националната стратегия за киберсигурност, плана за нейното реализиране; организира тяхното прилагане и осъществява мониторинг по отношение на тяхното изпълнение;

2. направлява изграждането и развитието на националната координационно-организационна мрежа за киберсигурност и осигуряването на нейната надеждност, сигурност и устойчивост;
3. организира създаването и развитието на Националния киберситуационен център и осигурява непрекъснато наблюдение и оценка на националната киберкартина, координира действията и комплексната реакция при заплаха от киберкриза и заплахи от хибриден характер;
4. осигурява непрекъснат мониторинг на киберкартината в държавата, както и координирана реакция, извършва оперативна оценка на обобщената степен на заплаха на национално ниво, както и разпространяване на препоръки за превантивни действия и организиране на координирани действия при киберкризи или непосредствена заплаха от такава;
5. предлага на Съвета по киберсигурност:
а) нива за оценка на заплахата от кибератаки и киберинциденти и критерии за определяне на тези нива;
б) степени за определяне нивото на готовност за противодействие на кибератаки и киберинциденти - в зависимост от нивото на заплаха;
в) мерките, които да се предприемат при съответните степени на готовност;
6. при необходимост, в състояние на повишена заплаха (от кибер- или от хибриден характер) подпомага сформирането на смесени екипи за анализ, реакция и възстановяване;
7. координира организираните от национални компетентни органи общи и частични учения в областта на киберсигурността или учения от хибриден характер;
8. изпълнява възложените му от председателя на Съвета по сигурността към Министерския съвет дейности и задачи и подпомага работата на секретаря на Съвета по сигурността.



Председател на Държавна агенция „Електронно управление“

Чл. 9. Председателят на Държавна агенция „Електронно управление“:
1. провежда държавната политика в областта на мрежовата и информационната сигурност;

2. разработва и предлага проект на Национална стратегия за мрежова и информационна сигурност за утвърждаване от Министерския съвет;
3. издава методически указания и координира изпълнението на политиките за мрежова и информационна сигурност, свързани с функционирането на електронното управление;
4. удостоверява съответствието на внедряваните информационни системи с изискванията за мрежова и информационна сигурност и осъществява контрол върху администрациите за спазване на тези изисквания;
5. упражнява контрол за спазване на изискванията за мрежова и информационна сигурност на административните органи с изключение на ведомствата по чл. 3, ал. 1, т. 2;
6. осъществява проверки на информационната сигурност на определена информационна система или на предприетите от административния орган мерки чрез овластени от него лица и дава предписания за тяхното подобряване;
7. разработва методика и правила за извършване на оценка за съответствие с изискванията за мрежова и информационна сигурност, определени в наредбата по чл. 2, ал. 6;
8. координира, организира и провежда учения и тренировки в областта на мрежовата и информационната сигурност в международен и национален формат.


Министър на отбраната

Чл. 10. (1) Министърът на отбраната провежда държавната политика за защита и активно противодействие на кибератаки и хибридни въздействия върху системите за управление на страната и въоръжените сили във военно положение, извънредно положение или положение на война (киберотбрана).
(2) Министърът на отбраната:
1. организира изграждането и развиването на способности за киберотбрана за защита на системите за управление на отбраната и въоръжените сили и тяхното ресурсно осигуряване;
2. организира координацията и взаимодействието във връзка с изпълнението на поети ангажименти за колективна отбрана на споделеното киберпространство с Организацията на Северноатлантическия договор (НАТО) и Европейския съюз (ЕС);
3. съвместно с министъра на вътрешните работи и председателите на Държавна агенция „Национална сигурност“ и Държавна агенция „Електронно управление“ изготвя допълнителни изисквания по отношение на планирането и осъществяването на мероприятията по подготовка на киберотбраната и киберустойчивостта на страната при обявяване на извънредно положение, военно положение или положение на война и организира осъществяването на контрола за тяхното изпълнение;
4. съвместно с министъра на вътрешните работи и с председателите на Държавна агенция „Национална сигурност“ и Държавна агенция „Електронно управление“ организира изграждането, развиването и поддържането на потенциал за защита и активно противодействие, адекватно на съвременните предизвикателства и заплахи в киберпространството;
5. организира изграждането и развиването на капацитет и механизми за изграждане на киберрезерв чрез използване на научноизследователската и образователната система на страната и индустрията, както и на възможностите, произтичащи от членството в НАТО и в Европейския съюз.
(3) Началникът на отбраната:
1. организира поддържането на способности за киберотбрана за защита на системите за управление на отбраната и въоръжените сили;
2. възлага интегрирането на задачите по киберотбрана като елемент от стратегическото планиране в плановете за изграждане на отбранителни способности и в плановете за операции на въоръжените сили;
3. организира и координира провеждането на занятия, тренировки и учения в областта на киберотбраната - в международен или в национален формат.

Предложение от народния представител Славчо Велков и група народни представители:
В чл. 10, ал. 1 думата „провежда" се заменя с „осигурява изпълнението на", а думата „(киберотбрана)" в края па изречението - отпада.

Министър на вътрешните работи

Чл. 11. (1) Министърът на вътрешните работи провежда държавната политика в областта на противодействието на киберпрестъпността.
(2) Органите на Министерството на вътрешните работи:
1. извършват дейности по разследване и оперативно-издирвателна дейност за противодействие на киберпрестъпността и произтичащите от нея заплахи за националната сигурност и за опазване на обществения ред;
2. поддържат и развиват способности за киберпревенция и защита, реакция, разследване и адекватно правоприлагане при киберпрестъпления;
3. усъвършенстват организационната база и способностите на органите за разкриване и разследване на престъпни дейности в киберпространството и установяват ефективно взаимодействие с всички заинтересовани страни (публични и частни) от Националната система за киберсигурност;
4. осъществяват разследване при извършени киберпрестъпления или конвенционални престъпления, от които произтичат заплахи за националната сигурност и опазване на обществения ред;
5. извършват дейности по повишаване на информираността на обществото за съществуващи и нововъзникващи киберзаплахи и свързаните с тях ескалиращи възможности за престъпни деяния срещу гражданите, бизнеса, обществото и държавата.
(3) В изпълнение на дейностите по ал. 2 Главна дирекция „Борба с организираната престъпност” на Министерството на вътрешните работи:
1. поддържа готовност за координирана, съвместна реакция с Екипите за реакция при компютърни инциденти по смисъла на чл. 16 и 17;
2. подпомага разследващите органи в страната чрез изготвяне на дигитални експертни справки на веществени доказателства;
3. поддържа екип за реакция при компютърни инциденти за Министерството на вътрешните работи;
4. разполага с изискуемите за целта технически, финансови и човешки ресурси, за да се гарантира състояние за ефективно осъществяване на дейностите по ал. 2 и за изграждането на Центъра по киберпрестъпност за действие на национално ниво.
(4) При уведомяване от Главна дирекция „Борба с организираната престъпност” на Министерството на вътрешните работи предприятията, предоставящи обществени електронни съобщителни мрежи и/или услуги, са длъжни незабавно, когато това е технически възможно, да филтрират/преустановят зловредния интернет трафик - източник на кибератака, към мрежи и информационни системи на субектите по чл. 2, ал. 1.

Предложение от народния представител Славчо Велков и група народни представители:
Създава се чл. 11a:
„Председател на Държавна агенция „Национална сигурност"
Чл. 11a. Председателят на Държавна агенция „Национална сигурност" провежда политиката на Министерски съвет в областта на специализираното противодействие на киберпрестъпността и кибертероризма."

Държавна агенция „Национална сигурност“

Чл. 12. (1) Държавна агенция „Национална сигурност” е специализиран орган към Министерския съвет, който:
1. извършва дейности по защита на националната сигурност от посегателства, насочени срещу националните интереси, независимостта и суверенитета на Република България, териториалната цялост, основните права и свободи на гражданите, демократичното функциониране на държавата и гражданските институции и установения в страната конституционен ред, свързани с деструктивно въздействие върху комуникационни и информационни системи;
2. осъществява контрол на информационната защита на стратегическите обекти и дейности от значение за националната сигурност, осъществена чрез административни, организационни, технически и криптографски мерки;
3. дава задължителни предписания във връзка с организацията на информационната защита на стратегическите обекти и дейности от значение за националната сигурност;
4. дава методически указания и препоръки по отношение на информационната защита на стратегическите обекти и дейностите от значение за националната сигурност;
5. оказва съдействие на ръководителите на стратегически обекти и на възлагащите и изпълняващи стратегически дейности при идентифициране и оценка на потенциални заплахи, насочени срещу стратегически обекти и дейности от значение за националната сигурност.
(2) При уведомяване от Държавна агенция „Национална сигурност” ръководителите на стратегическите обекти и изпълняващите стратегически дейности са длъжни незабавно, когато това е технически възможно, да филтрират/преустановят зловредния интернет трафик - източник на активна/действаща кибератака.
Чл. 13. (1) В Държавна агенция „Национална сигурност” се създава Център за мониторинг и реакция на инциденти със значително увреждащо въздействие върху мрежовата и информационната сигурност на стратегическите обекти и дейности, от значение за националната сигурност и класифицираните мрежи.
(2) Центърът по ал. 1 изпълнява следните реактивни и проактивни дейности:
1. мониторинг на инциденти в мрежовата и информационната сигурност на стратегическите обекти и дейности, от значение за националната сигурност;
2. подаване на ранни предупреждения, сигнали за тревога, съобщения и разпространяване на информация за инциденти и рискове сред стратегическите обекти и дейности, от значение за националната сигурност;
3. методическо съдействие при киберинциденти;
4. осигурява динамичен анализ на рисковете и инцидентите и информация за текущата ситуация.
(3) Центърът по ал. 1 поддържа готовност за координирана съвместна реакция в рамките на националната координационно-организационна мрежа за киберсигурност при инциденти в мрежовата и информационната сигурност на стратегическите обекти, които са от значение за националната сигурност.


Национални компетентни органи

Чл. 14. (1) Министерският съвет определя с решение административните органи, към които се създават национални компетентни органи по мрежова и информационна сигурност в секторите, където такива не са създадени със специален закон.
(2) Национални компетентни органи се създават за административните органи и за всички сектори и услуги, посочени в приложения № 1 и 2 на закона. Тези органи:
1. координират и контролират изпълнението на задачите, свързани с мрежовата и информационната сигурност на операторите на съществени услуги и доставчиците на цифрови услуги в съответния сектор съгласно този закон;
2. съгласуват в координация с Държавна агенция „Електронно управление“ и приемат насоки за обстоятелствата, при които от операторите на съществени услуги и от доставчиците на цифрови услуги се изисква да ги уведомяват за инциденти (относно вида инциденти, сроковете, йерархията на докладване и др.);
3. оценяват дали операторите на съществени услуги изпълняват задълженията си по глави втора и трета, както и въздействието на това изпълнение върху мрежовата и информационната сигурност и предприемат съответните мерки при неизпълнение;
4. съвместно с Агенцията на Европейския съюз за мрежова и информационна сигурност (ENISA) може да изготвят препоръки и насоки по отношение на техническите области, които да се вземат под внимание във връзка с използването на европейските или международно приетите стандарти и спецификации от значение за мрежовата и информационната сигурност.
(3) Националните компетентни органи гарантират, че екипите за реагиране при инциденти в компютърната сигурност по чл. 16 получават уведомления за инциденти, подадени съгласно този закон.
(4) Националните компетентни органи имат право да изискват от субектите по чл. 2, ал. 1:
1. информация, необходима за оценка на тяхната собствена мрежова и информационна сигурност, включително съществуващи политики за сигурност;
2. доказателства за ефективното изпълнение на политиките за сигурност, като например резултатите от одит на сигурността, извършван от компетентния орган или от квалифициран одитор, а във втория случай - да предоставят на компетентния орган резултатите от одита, включително доказателствата, на които той се основава.
(5) В искането за информация или за доказателства по ал. 3 националните компетентни органи посочват с каква цел се прави искането и уточняват каква информация/доказателства се изисква/изискват.
(6) След оценяването на информацията или на резултатите от одитите на сигурността, посочени в ал. 3, т. 2, националният компетентен орган дава при необходимост задължителни указания на операторите на съществени услуги за отстраняване на установените пропуски.
(7) Националните компетентни органи работят в тясно сътрудничество с органите за защита на данните при работа по инцидентите, които водят до нарушаване на сигурността на лични данни.
(8) Националните компетентни органи предприемат действия чрез последващи надзорни мерки, когато получат доказателства, че даден доставчик на цифрови услуги не отговаря на изискванията, установени в глава четвърта на този закон. Тези доказателства могат да се предоставят от компетентен орган на друга държава, в която доставчикът на цифрови услуги предоставя услугата.
(9) За целите на глава четвърта националните компетентни органи може да изискват от доставчиците на цифрови услуги:
1. да предоставят информацията, необходима за оценка на собствената им мрежова и информационна сигурност, включително съществуващи политики за сигурност;
2. да отстраняват всеки пропуск в изпълнението на изискванията, предвидени в глава четвърта.
(10) Националните компетентни органи трябва да разполагат с достатъчно технически, финансови и човешки ресурси, за да се гарантира, че са в състояние да изпълняват ефективно и ефикасно възложените им задачи в съответствие с този закон.

Национално единно звено за контакт
Чл. 15. (1) Председателят на Държавна агенция „Електронно управление“ създава Национално единно звено за контакт.
(2) Националното единно звено за контакт отговаря за координацията на въпросите, свързани с мрежовата и информационната сигурност, и за трансграничното сътрудничество със съответните органи в други държави членки.
(3) Националното единно звено за контакт предоставя на всеки две години на Европейската комисия информация относно последователността на подходите за определянето на операторите на съществени услуги, която включва:
1. националните мерки, чрез които са определени операторите на съществени услуги;
2. списък на услугите, посочен в чл. 4;
3. броя на операторите на съществени услуги, определени за всеки сектор, и посочване на тяхното значение във връзка с този сектор;
4. критерии за класифициране на инцидентите, като инциденти със значително увреждащо въздействие са:
а) праговете (когато има такива), определящи минималното равнище на доставките, спрямо броя ползватели, разчитащи на тези доставки (съществени услуги);
б) значението на конкретния оператор на съществени услуги за поддържане на достатъчно ниво на услугата предвид наличието и на други възможности за предоставяне на тази услуга;
в) броят на операторите на съществени услуги, определени за всеки сектор, и посочване на значението им във връзка с този сектор.
(4) Националното единно звено за контакт уведомява:
1. Европейската комисия:
а) за обхвата на задачите на екипите за реагиране при инциденти в компютърната сигурност по чл. 16, както и за съществените елементи от тяхната процедура за предприемане на действия при инциденти, след тяхното създаване или при изменение на статута или процедурите им;
б) за приетата Национална стратегия за мрежова и информационна сигурност в 3-месечен срок от приемането ѝ;
2. националното единно звено за контакт на други държави за трансгранични инциденти, когато е постъпило искане от Националния екип за реагиране при инциденти с компютърната сигурност.
(5) Националното единно звено за контакт представя веднъж годишно обобщен доклад до Групата за сътрудничество към Европейската комисия относно получените уведомления, включително за броя уведомления и естеството на инцидентите, за които са подадени уведомленията, и относно действията, предприети в съответствие с чл. 22, ал. 3 и чл. 25, ал. 6.
(6) В случай на необходимост националните компетентни органи и Националното единно звено за контакт провеждат консултации и осъществяват сътрудничество със съответните национални правоприлагащи органи и с Комисията за защита на личните данни.
(7) Националното единно звено за контакт запазва сигурността и търговските интереси на оператора на съществени услуги, както и поверителността на информацията, съдържаща се в уведомлението му.
(8) Република България чрез Министерския съвет уведомява незабавно Европейската комисия за определянето на националните компетентни органи и Националното единно звено за контакт за техните задачи и за всякакви последващи промени.

Секторни екипи за реагиране при инциденти в компютърната сигурност
Чл. 16. (1) Към определените по чл. 14, ал. 1 национални компетентни органи се създават секторни екипи за реагиране при инциденти в компютърната сигурност съгласно методическите указания на Европейската агенция за мрежова и информационна сигурност (ENISA). Секторните екипи осъществяват дейността си в съответствие с процедури, утвърдени от ръководителя на ведомството, към което са създадени. Секторните екипи за реагиране при инциденти в компютърната сигурност трябва да отговарят на следните изисквания:
1. да разполагат с комуникационни канали с високо ниво на достъпност, които да им осигуряват гарантирана възможност да могат да бъдат търсени във всеки един момент; комуникационните канали трябва да бъдат ясно посочени и добре известни на конституентите и на партньорите от сътрудничеството;
2. секторните екипи за реагиране при инциденти в компютърната сигурност и информационни системи, поддържащи тяхната дейност, трябва да са разположени в зони за сигурност;
3. да осигуряват непрекъснатост на дейността си чрез:
а) подходяща система за управление и разпределяне на заявките;
б) достатъчен персонал, който да е постоянно на разположение;
в) инфраструктура с гарантирана непрекъснатост на дейността, осигурена от резервни системи и резервно работно помещение;
4. изпълнение на реактивни, проактивни дейности и дейности по управление на качеството на сигурността в съответствие с регламентиращите документи на Европейския съюз, препоръчителните документи и с указанията на Агенцията на Европейския съюз за мрежова и информационна сигурност (ENISA) и с националното законодателство.
(2) Екипите за реагиране при инциденти в компютърната сигурност трябва да разполагат с достатъчно ресурси за ефективно изпълнение на задачите си, които включват най-малко следните елементи:
1. наблюдение на инциденти на национално равнище;
2. подаване на ранни предупреждения, сигнали за тревога, съобщения и разпространяване на информация за инциденти и рискове сред съответните конституенти;
3. реакция при инциденти и оказване на методологическа помощ при разрешаване на инциденти - при поискване;
4. осигуряване на динамичен анализ на рисковете и инцидентите и информация за текущата ситуация.
(3) Екипите за реагиране при инциденти в компютърната сигурност изграждат отношения на сътрудничество с частния сектор.
(4) С цел улесняване на сътрудничеството екипите за реагиране при инциденти в компютърната сигурност насърчават възприемането и използването на общи практики за стандартизация за:
1. процедури за предприемане на действия при инциденти и рискове;
2. схеми за класификация на инциденти, рискове и информация.
(5) Екипите за реагиране при инциденти в компютърната сигурност си сътрудничат ефективно, ефикасно и сигурно в Националната мрежа на екипите за реагиране при инциденти в компютърната сигурност. Тя се изгражда от секторните екипи за реагиране при инциденти в компютърната сигурност и от националния екип за реагиране при инциденти в компютърната сигурност.
(6) Секторните екипи за реагиране при инциденти в компютърната сигурност информират незабавно националния екип за реагиране при инциденти в компютърната сигурност за уведомленията за трансгранични инциденти и за инциденти със значително увреждащо въздействие, подадени съгласно този закон.
(7) Секторните екипи за реагиране при инциденти в компютърната сигурност изпращат веднъж на три месеца обобщена статистика до Националния екип за реагиране при инциденти в компютърната сигурност относно всички регистрирани от тях инциденти в мрежовата и информационната сигурност.
(8) Секторните екипи за реагиране при инциденти в компютърната сигурност, обхващащи стратегическите обекти и дейности, изграждат комуникационна свързаност с Центъра за мониторинг и реакция на инциденти със значително увреждащо въздействие върху мрежовата и информационната сигурност на стратегическите обекти и дейности - от значение за националната сигурност при Държавна агенция „Национална сигурност”. Свързаността се използва за подпомагане изпълнението на мерките по чл. 13 от настоящия закон.

Национален екип за реагиране при инциденти в компютърната сигурност
Чл. 17. (1) Председателят на Държавна агенция „Електронно управление“ създава национален екип за реагиране при инциденти в компютърната сигурност, който отговаря на изискванията на чл. 16.
(2) Националният екип за реагиране при инциденти в компютърната сигурност изпълнява ролята и на правителствен екип за реагиране при инциденти в компютърната сигурност за административните органи, който:
1. действа като точка за контакт по въпроси, свързани с мрежовата и информационната сигурност на национално ниво и по оперативни въпроси на международно ниво;
2. подпомага дейностите по изграждането на секторните екипи за реагиране при инциденти в компютърната сигурност;
3. участва в изграждането и дейностите на Националната мрежа екипи за реагиране при инциденти в компютърната сигурност;
4. обобщава и анализира предоставената информация от секторните екипи за реагиране при инциденти в компютърната сигурност и изготвя доклади в случай на необходимост;
5. предоставя съвети и препоръки на органите на държавната власт, органите на местното самоуправление и юридическите лица, създадени със специален закон, по важни въпроси, свързани с мрежовата и информационната сигурност;
6. оказва експертна подкрепа на административните органи и на други юридически лица при изграждане, внедряване и поддържане в актуално състояние на системи за управление на информационната сигурност съгласно националните и международно признатите стандарти в тази област;
7. участва в разработването и тестването на национални и по линия на Европейския съюз и НАТО стандартни оперативни процедури;
8. при възникване на инциденти в мрежовата и информационната сигурност дава препоръчителни указания на административните органи, на националните компетентни органи и на секторните екипи за реагиране при инциденти в компютърната сигурност;
9. информира незабавно Националното единно звено за контакт за уведомленията за трансгранични инциденти, подадени съгласно този закон; в случай на необходимост иска съдействие от Националното единно звено за контакт за тяхното разрешаване;

10. участва в международни мрежи за сътрудничество, като мрежа от екипи за реагиране при инциденти в компютърната сигурност, когато това е необходимо, във връзка с изискванията на Европейския съюз и НАТО.
(3) Предприятията, предоставящи обществени електронни съобщителни мрежи и/или услуги, оказват съдействие на националния екип за реагиране при инциденти в компютърната сигурност за отстраняване на установени от него инциденти в киберсигурността на своите мрежи и/или услуги.
Сътрудничество и координация
Чл. 18. (1) Националният координатор по киберсигурността осигурява връзката между стратегическото ръководство и системата за координация на оперативно ниво. Сътрудничество на национално равнище се основава на оптимално използване на съществуващите ресурси чрез изграждане на Националната координационно-организационна мрежа за киберсигурност със съответна техническа платформа, както и на Националния киберситуационен център.
(2) Държавна агенция „Електронно управление“ координира дейностите по осъществяването на Националната координационно-организационна мрежа за киберсигурност и на Националния киберситуационен център в сътрудничество с Държавна агенция „Национална сигурност“, Министерството на вътрешните работи и Министерството на отбраната.
(3) За координация и обмен на информация при възникване на киберинцидент или при извършване на киберпрестъпление на междуведомствено равнище се създават контактни точки с цел осведоменост на всички компетентни по случая институции и изготвянето на общ ответен отговор. Процедурите и правилата за сътрудничество на междуведомствено ниво при възникнал киберинцидент или при извършване на киберпрестъпление се разписват в споразумение за взаимодействие. Споразумението се разработва съвместно от заинтересованите ведомства.
(4) За координиране на дейностите за реакция при мащабни кибератаки и инциденти председателят на Държавна агенция „Електронно управление“ може да създава междуведомствени оперативни групи с участието на ведомства, организации и институции, включително от частния сектор, имащи отношение към тези дейности.
(5) Сътрудничеството на международно равнище се осъществява на ниво група за сътрудничество, а координацията и сътрудничеството между екипите за реагиране при инциденти с компютърната сигурност - в мрежата екипи за реагиране при инциденти с компютърната сигурност по смисъла на чл. 12 от Директива (ЕС) 2016/1148 на Европейския парламент и на Съвета от 6 юли 2016 г. относно мерки за високо общо ниво на сигурност на мрежите и информационните системи в Съюза (OB, L 194 от 19 юли 2016 г.).
Глава втора
МРЕЖОВА И ИНФОРМАЦИОННА СИГУРНОСТ НА АДМИНИСТРАТИВНИТЕ ОРГАНИ, ОРГАНИЗАЦИИТЕ, ПРЕДОСТАВЯЩИ ОБЩЕСТВЕНИ УСЛУГИ, И ЛИЦАТА, ОСЪЩЕСТВЯВАЩИ ПУБЛИЧНИ ФУНКЦИИ

Изисквания към административните органи

Чл. 19. (1) Административните органи използват мрежи и информационни системи, които съответстват на изискванията на този закон.
(2) Административните органи осигуряват и отговарят за мрежовата и информационната сигурност на използваните от тях мрежи и информационни системи.
(3) Административните органи уведомяват националния екип за реагиране при инциденти в компютърната сигурност за всички инциденти, включително за тези, които имат значително увреждащо въздействие върху непрекъснатостта на предоставяните от тях административни услуги по електронен път.
(4) Първоначално уводомяване се прави до два часа след констатирането на инцидента. Уведомленията включват информация, която дава възможност на екипа за реагиране при инциденти с компютърната сигурност да определи евентуалното трансгранично въздействие на инцидента. В срок до 5 работни дни административният орган предоставя на екипа за реагиране при инциденти с компютърната сигурност пълната информация за инцидента, определена в наредбата по чл. 2, ал. 6. Уведомлението не води до повишена отговорност за уведомяващия.

Изисквания към организациите, предоставящи обществени услуги
Чл. 20. (1) Организациите, предоставящи обществени услуги, осигуряват и отговарят за мрежовата и информационната сигурност на използваните от тях мрежи и информационни системи.
(2) Организациите, предоставящи обществени услуги, уведомяват националния екип за реагиране при инциденти в компютърната сигурност за всички инциденти, включително за тези, които имат значително увреждащо въздействие върху непрекъснатостта на предоставяните от тях административни услуги по електронен път.
(3) Първоначално уведомяване се прави до два часа след констатирането на инцидента. Уведомленията включват информация, която дава възможност на екипа за реагиране при инциденти с компютърната сигурност да определи евентуалното трансгранично въздействие на инцидента. В срок до 5 работни дни организацията, предоставяща обществени услуги, предоставя на екипа за реагиране при инциденти с компютърната сигурност пълната информация за инцидента, определена в наредбата по чл. 2, ал. 6. Уведомлението не води до търсене на отговорност от уведомяващия.

Изисквания към лицата, осъществяващи публични функции
Чл. 21. (1) Лица, осъществяващи публични функции, осигуряват и отговарят за мрежовата и информационната сигурност на използваните от тях мрежи и информационни системи.
(2) Лица, осъществяващи публични функции, уведомяват националния екип за реагиране при инциденти в компютърната сигурност за всички инциденти, включително за тези, които имат значително увреждащо въздействие върху непрекъснатостта на предоставяните от тях административни услуги по електронен път.
(3) Първоначално уведомяване се прави до два часа след констатирането на инцидента. Уведомленията включват информация, която дава възможност на екипа за реагиране при инциденти с компютърната сигурност да определи евентуалното трансгранично въздействие на инцидента. В срок до 5 работни дни лицето, осъществяващо публични функции, предоставя на екипа за реагиране при инциденти с компютърната сигурност пълната информация за инцидента, определена в наредбата по чл. 2, ал. 6. Уведомлението не води до повишена отговорност за уведомяващия.

Глава трета
МРЕЖОВА И ИНФОРМАЦИОННА СИГУРНОСТ НА ОПЕРАТОРИТЕ НА СЪЩЕСТВЕНИ УСЛУГИ

Задължения на операторите на съществени услуги по отношение на изискванията за сигурност и уведомяване за инциденти

Чл. 22. (1) Операторите на съществени услуги предприемат подходящи и пропорционални технически и организационни мерки за управление на рисковете в мрежовата и информационната сигурност, използвани за дейността им. Тези мерки трябва да осигуряват ниво на мрежова и информационна сигурност, съответстващо на съществуващия риск.
(2) Операторите на съществени услуги предприемат подходящи мерки за предотвратяване и намаляване до минимум на въздействието на инцидентите, засягащи мрежовата и информационната сигурност, които се използват за предоставянето на съществени услуги, с цел осигуряване на непрекъснатост на тези услуги.
(3) Операторите на съществени услуги уведомяват съответния секторен екип за реагиране при инциденти с компютърната сигурност за всички инциденти, включително за тези, които имат значително увреждащо въздействие върху непрекъснатостта на предоставяните от тях съществени услуги. Първоначално уведомяване се прави до 2 часа след констатиране на инцидента. Уведомленията включват информация, която дава възможност на екипа за реагиране при инциденти с компютърната сигурност да определи евентуалното трансгранично въздействие на инцидента. В срок до 5 работни дни операторът на съществена услуга предоставя на екипа за реагиране при инциденти с компютърната сигурност пълната информация за инцидента, определена в наредбата по чл. 2, ал. 6. Уведомлението не води до повишена отговорност за уведомяващия.
(4) При наличие на обосновано предположение, че докладваният/докладваните инцидент/инциденти могат да се класифицират като киберпрестъпление, екипите за реагиране при инциденти с компютърната сигурност уведомяват специализирания отдел на Министерството на вътрешните работи – Главна дирекция „Борба с организираната престъпност“.
(5) Съответните секторни екипи за реагиране при инциденти с компютърната сигурност, в чиято сфера на отговорност попадат оператори на съществени услуги, които са част от списъка на стратегически обекти и дейности, уведомяват незабавно и Центъра за мониторинг и реакция на инциденти със значително увреждащо въздействие върху мрежовата и информационната сигурност на стратегическите обекти и дейности, от значение за националната сигурност, за настъпилите инциденти. Последващите действия на операторите на съществени услуги се координират с Центъра и със съответния секторен екип за реагиране при инциденти с компютърната сигурност.
(6) Секторните екипи за реагиране при инциденти с компютърната сигурност информират незабавно националния екип за реагиране при инциденти с компютърната сигурност за уведомленията за трансгранични инциденти и за инциденти със значително увреждащо въздействие, подадени съгласно този закон.
(7) Секторните екипи за реагиране при инциденти с компютърната сигурност запазват сигурността и търговските интереси на оператора на основните услуги, както и поверителността на информацията, съдържаща се в уведомлението му.

Предоставяне на информация
Чл. 23. (1) В случай на трансграничен инцидент другата/другите засегната/засегнати държава/държави се информират от Националното единно звено за контакт, ако инцидентът има значително увреждащо въздействие върху непрекъснатостта на съществените услуги в тази държава, като Националното единно звено за контакт запазва сигурността и търговските интереси на оператора на съществените услуги, както и поверителността на информацията, съдържаща се в уведомлението му, в съответствие с правото на Съюза и с националното законодателство.
(2) Екипите за реагиране при инциденти с компютърната сигурност предоставят на подалия уведомлението оператор на съществени услуги при поискване съответната информация във връзка с последващите действия по уведомлението за инцидент, като например информация, която би спомогнала за предприемането на ефективни действия при инцидента.
(3) След консултация с уведомяващия оператор на съществени услуги уведоменият екип за реагиране при инцидент с компютърната сигурност може да информира обществеността за отделни инциденти, когато е необходима обществена осведоменост, с цел предотвратяване на инцидент или справяне с текущ инцидент.

Прилагане и изпълнение
Чл. 24. Операторите на съществени услуги се задължават да предоставят при поискване от Националния компетентен орган:
1. информацията, необходима за оценка на тяхната собствена мрежова и информационна сигурност, включително съществуващи политики за сигурност;
2. доказателства за ефективното изпълнение на политиките за сигурност; доказателства са резултатите от одит на сигурността, извършван от компетентния орган или от квалифициран одитор, а във втория случай – да предоставят на компетентния орган резултатите от одита, включително доказателствата, на които той се основава.


Глава четвърта
МРЕЖОВА И ИНФОРМАЦИОННА СИГУРНОСТ НА ДОСТАВЧИЦИТЕ НА ЦИФРОВИ УСЛУГИ

Изисквания за сигурност и уведомяване за инциденти

Чл. 25. (1) Доставчиците на цифрови услуги установяват и предприемат подходящи и пропорционални технически и организационни мерки за управление на рисковете в мрежовата и информационната сигурност, използвани от тези доставчици при предоставянето на следните услуги на територията на Република България:
1. онлайн място за търговия;
2. онлайн търсачка;
3. компютърни услуги „в облак“.
(2) Мерките осигуряват ниво на мрежова и информационна сигурност, съответстващо на съществуващия риск, и са съобразени със следните елементи:
1. сигурност на системите и съоръженията;
2. действия при инциденти;
3. управление на непрекъснатостта на дейностите;
4. наблюдение, одит и изпитване;
5. спазване на международни стандарти.
(3) Доставчиците на цифрови услуги предприемат мерки с цел предотвратяване и намаляване до минимум на въздействието на инцидентите, засягащи мрежовата и информационната сигурност, върху услугите, посочени в ал. 1 и предлагани в Република България, с цел осигуряване на непрекъснатост на тези услуги.
(4) В случай на трансграничен инцидент другата/другите засегната/засегнати държава/държави се информират от Националното единно звено за контакт, ако инцидентът има значително увреждащо въздействие върху непрекъснатостта на цифровите услуги в тази държава, като Националното единно звено за контакт запазва сигурността и търговските интереси на доставчиците на цифрови услуги, както и поверителността на информацията, съдържаща се в уведомлението му.
(5) За определяне на въздействието на даден инцидент като съществено се вземат предвид следните показатели:
1. броят ползватели, засегнати от инцидента, и по-специално ползвателите, които разчитат на услугата за предоставяне на собствените си услуги;
2. продължителността на инцидента;
3. географският обхват по отношение на областта, засегната от инцидента;
4. степента на нарушаване на функционирането на услугата;
5. степента на въздействие върху стопанските и обществените дейности.
(6) Доставчикът на цифрови услуги уведомява в срок до два часа след констатирането на инцидента оператора на съществени услуги за всеки възникнал инцидент със значително увреждащо въздействие върху предоставяната от него услуга - от посочените в приложение № 2. Уведомленията се ескалират и до Националния екип за реагиране при инциденти в компютърната сигурност, когато включват информация, която дава възможност да се определи евентуалното трансгранично въздействие на инцидента. Задължението за уведомяване за инцидент се прилага само когато доставчикът на цифрови услуги има достъп до информацията, която е необходима, за да се оцени въздействието на инцидента спрямо показателите в ал. 5.
(7) Когато даден оператор на съществените услуги разчита на доставчик на цифрови услуги, който е трето лице, за да предоставя услуга от съществено значение за поддържането на особено важни обществени и стопански дейности, този оператор уведомява за всяко значително увреждащо въздействие върху непрекъснатостта на съществените услуги, дължащо се на инцидент, засягащ доставчика на цифрови услуги.
(8) След консултация със засегнатия доставчик на цифрови услуги Националният екип за реагиране при инциденти в компютърната сигурност и, когато е приложимо, органите или екип за реагиране при инциденти в компютърната сигурност на други засегнати държави може да информират обществеността за отделни инциденти или да изискат от доставчика на цифрови услуги да направи това, когато е необходима обществена осведоменост с цел предотвратяване на инцидент или справяне с текущ инцидент или когато разкриването на инцидента е в интерес на обществеността поради други причини.

Прилагане и изпълнение
Чл. 26. Доставчиците на цифрови услуги се задължават да предоставят при поискване от националните компетентни органи:
1. информацията, необходима за оценка на собствената им мрежова и информационна сигурност, включително съществуващи политики за сигурност;
2. да отстраняват всеки пропуск в изпълнението на изискванията, предвидени в чл. 25.

Глава пета
ЮРИСДИКЦИЯ И ТЕРИТОРИАЛНОСТ

Чл. 27. (1) Когато доставчик на цифрова услуги има основно място на установяване или представител в Република България, но неговите мрежи и информационни системи са разположени в една или повече други държави, компетентният орган на държавата на основното място на установяване или на представителя и компетентните органи на тези други държави си сътрудничат и се подпомагат взаимно, ако е необходимо. Тази помощ и сътрудничество може да обхващат обмена на информация между съответните компетентни органи и исканията за предприемане на надзорните мерки, посочени в чл. 25.
(2) Доставчикът на цифрови услуги е под юрисдикцията на държавата - членка на Европейския съюз, в която е основното му място на установяване. Основното място на установяване на доставчик на цифрови услуги е в дадената държава членка, ако главното му управление е в тази държава членка.
(3) Доставчик на цифрови услуги, който не е установен в Европейския съюз, но предлага в Съюза услугите, посочени в приложение
№ 2, определя свой представител в Съюза. Представителят трябва да е установен в една от държавите членки, в които се предлагат услугите. Приема се, че доставчикът на цифрови услуги е под юрисдикцията на държавата членка, в която е установен представителят.
(4) Определянето на представител от доставчика на цифрови услуги не засяга съдебните производства, които биха могли да бъдат започнати срещу самия доставчик на цифрови услуги.


Глава шеста
СТАНДАРТИЗАЦИЯ И ДОБРОВОЛНО УВЕДОМЯВАНЕ

Стандартизация
Чл. 28. (1) Насърчава се използването на европейските или международно приетите стандарти и спецификации от значение за киберсигурността с цел гарантиране на еднаквото прилагане на глави втора, трета и четвърта и без да се налага употребата на определен тип технология или да се упражнява дискриминационна политика.
(2) Със съдействието на Агенцията на Европейския съюз за мрежова и информационна сигурност националните компетентни органи изготвят препоръки и насоки по отношение на техническите области, които да се вземат под внимание във връзка с ал. 1, както и по отношение на вече съществуващите стандарти, включително националните стандарти на страната, което да позволи обхващането на тези области.

Доброволно уведомяване

Чл. 29. (1) Субекти, които не са били определени като оператори на съществени услуги и не са доставчици на цифрови услуги, уведомяват на доброволна основа екипите за реагиране при инциденти с компютърната сигурност по чл. 16 и/или по чл. 17 за инциденти, които имат значително увреждащо въздействие върху непрекъснатостта на предоставяните от тях услуги.
(2) При обработването на уведомленията екипите за реагиране при инциденти с компютърната сигурност действат в съответствие с процедурата по глави трета и четвърта, като обработват задължителните уведомления с предимство пред доброволните уведомления. Доброволните уведомления се обработват само когато обработването им не представлява несъразмерна или неоправдана тежест. Доброволното уведомяване не трябва да води до налагане на задължения за уведомяващия субект, каквито не биха му били наложени, ако не беше подал уведомлението.


Глава седма
АДМИНИСТРАТИВНОНАКАЗАТЕЛНИ РАЗПОРЕДБИ

Административни наказания и имуществени санкции

Чл. 30. За нарушения на разпоредбите на този закон се налагат глоби на физическите лица и имуществени санкции - на юридическите лица и на едноличните търговци, както и на дружества, създадени по реда на Закона за задълженията и договорите, които за целите на административната санкция се приравняват на юридически лица.

Отговорност на административните органи, организациите, предоставящи обществени услуги, и лицата, осъществяващи публични функции, за нарушения, свързани с уведомяване за инциденти
Чл. 31. (1) Административен орган, организация, предоставяща обществени услуги, и лице, осъществяващи публични функции, което не уведоми или уведоми с неоправдано забавяне екипите за реагиране при инциденти с компютърната сигурност за всеки инцидент, които имат значително увреждащо въздействие върху непрекъснатостта на предоставяните от него съществени услуги, както и когато уведомленията съдържат недостатъчна информация, която не дава възможност на екипите за реагиране при инциденти с компютърната сигурност да определи евентуалното трансгранично въздействие на инцидента, в случай че деянието не съставлява престъпление, се наказва с глоба от 1000 до 10 000 лв. или с имуществена санкция от 1500 до 15 000 лв.
(2) При повторно нарушение наказанието е глоба от 2000 до
20 000 лв. или имуществена санкция от 5000 до 25 000 лв.

Отговорност на оператор на съществени услуги за нарушения, свързани с уведомяване за инциденти

Чл. 32. (1) Оператор на съществена услуга, който не уведоми или уведоми с неоправдано забавяне екипите за реагиране при инциденти с компютърната сигурност за всеки инцидент, които имат значително увреждащо въздействие върху непрекъснатостта на предоставяните от него съществени услуги, както и когато уведомленията съдържат недостатъчна информация, която не дава възможност на екипите за реагиране при инциденти с компютърната сигурност да определи евентуалното трансгранично въздействие на инцидента, в случай че деянието не съставлява престъпление, се наказва с глоба от 1000 до 10 000 лв. или с имуществена санкция от 1500 до 15 000 лв.
(2) При повторно нарушение наказанието е глоба от 2000 до
20 000 лв. или имуществена санкция в от 5000 до 25 000 лв.

Отговорност на доставчици на цифрови услуги за нарушения, свързани с уведомяване за инциденти

Чл. 33. (1) Доставчик на цифрова услуга, който не уведоми или уведоми с неоправдано забавяне националния екип за реагиране при инциденти в компютърната сигурност и засегнатия оператор на съществени услуги за всеки инцидент, който има значително увреждащо въздействие върху предоставяната от него услуга, която предлага в страната и/или в Европейския съюз, и уведомленията съдържат недостатъчна информация, която не дава възможност на националния екип за реагиране при инциденти в компютърната сигурност да определи значимостта на евентуалното трансгранично въздействие на инцидента, в случай че деянието не съставлява престъпление, се наказва с глоба от 1000 до 10 000 лв. или с имуществена санкция от 1500 до 15 000 лв.
(2) При повторно нарушение наказанието е глоба от 2000 лв. до
20 000 лв. или имуществена санкция от 5000 до 25 000 лв.

Отговорност за други нарушения

Чл. 34. (1) Длъжностно лице, което извърши или допусне извършването на нарушение по глави втора, трета и четвърта на този закон, се наказва с глоба от 1000 до 10 000 лв., освен ако деянието не съставлява престъпление.
(2) При повторно нарушение наказанието е глоба от 1500 до
15 000 лв.
Чл. 35. Който не изпълни задължение по чл. 11, ал. 4, чл. 12, ал. 2 и чл. 17, ал. 3, се наказва с глоба от 1000 до 10 000 лв. или с имуществена санкция от 1500 до 15 000 лв.

Установяване на нарушенията, издаване, обжалване и изпълнение на наказателните постановления
Чл. 36. (1) При установяване на нарушения по чл. 17, ал. 3 и по глави втора, трета и четвърта длъжностни лица, определени от председателя на Държавна агенция „Електронно управление“, съставят актове по реда на Закона за административните нарушения и наказания.
(2) Въз основа на актовете по ал. 1 председателят на Държавна агенция „Електронно управление“ или изрично оправомощено от него длъжностно лице издава наказателни постановления или мотивирани резолюции за прекратяване на административнонаказателното производство.
(3) При установяване на нарушения по чл. 11, ал. 4 длъжностни лица, определени от министъра на вътрешните работи, съставят актове по реда на Закона за административните нарушения и наказания.
(4) Въз основа на актовете по ал. 3 министърът на вътрешните работи или изрично оправомощено от него длъжностно лице издава наказателни постановления или мотивирани резолюции за прекратяване на административнонаказателното производство.
(5) При установяване на нарушения по чл. 12, ал. 2 длъжностни лица, определени от председателя на Държавна агенция „Национална сигурност“, съставят актове по реда на Закона за административните нарушения и наказания.
(6) Въз основа на актовете по ал. 5 председателят на Държавна агенция „Национална сигурност“ или изрично оправомощено от него длъжностно лице издава наказателни постановления или мотивирани резолюции за прекратяване на административнонаказателното производство.
(7) Установяването на нарушенията, издаването, обжалването и изпълнението на наказателните постановления се извършват по реда на Закона за административните нарушения и наказания, доколкото с този закон не е установен друг ред.
(8) Нарушението е повторно, когато е извършено в срок една година от влизането в сила на наказателното постановление, с което нарушителят е наказан за нарушение от същия вид.


ДОПЪЛНИТЕЛНИ РАЗПОРЕДБИ

§ 1. Този закон въвежда разпоредбите на Директива (EС) 2016/1148 на Европейския парламент и на Съвета от 6 юли 2016 г. относно мерки за високо общо ниво на сигурност на мрежите и информационните системи в Съюза (OB, L 194 от 19 юли 2016 г.).
§ 2. Този закон създава условия и предвижда мерки за прилагане на Регламент за изпълнение (ЕС) 2018/151 на Комисията от 30 януари
2018 г. за определяне на правила за прилагане на Директива (ЕС) 2016/1148 на Европейския парламент и на Съвета по отношение на допълнителното уточняване на елементите, които трябва да се вземат предвид от доставчиците на цифрови услуги при управлението на рисковете за сигурността на мрежите и информационните системи, както и на показателите за определяне на това дали даден инцидент има съществено въздействие
(OB, L 26/48 от 31 януари 2018 г.).
§ 3. По смисъла на този закон:
1. „Административен орган“ е понятието, определено в § 1, т. 1 от Допълнителните разпоредби на Закона за електронното управление.
2. „Група за сътрудничество“ е група, съставена от представители на държавите членки, на Европейската комисия и на Агенцията на Европейския съюз за мрежова и информационна сигурност (ENISA).
3. „Действия при инцидент“ са всички процедури, подпомагащи установяването, анализа и ограничаването на инцидент, както и реагирането на такъв инцидент.
4. „Длъжностно лице“ е понятието, определено в чл. 93, т. 1 от Наказателния кодекс.
5. „Доставчик на DNS услуги“ е субект, предоставящ Система за имена на домейни (DNS) услуги по интернет.
6. „Доставчик на цифрови услуги“ е юридическо лице, предоставящо цифрова услуга.
7. „Екип за реакция при инциденти с компютърната сигурност” е организация, която изучава уязвимостите в киберпространството и подпомага жертви на кибератаки, осигурява проактивни и реактивни услуги, споделя информация за повишаване на киберсигурността и координира отговори на заплахи на киберсигурността (известни в различни организационни форми – CSIRT, CERT и др.)
8. „Зловреден софтуер“ е софтуер, който умишлено е включен или вмъкнат в система с цел нанасяне на вреда.
9. „Зловреден интернет трафик“ са аномалии на интернет трафика, предизвикани от хардуерни или софтуерни повреди на интернет пакети със злоумишлено модифицирани опции.
10. „Информационната защита“ е комплекс от организационни, юридически, технически и технологични мерки за мониторинг, активна превенция, намаляване влиянието на уязвимости, споделяне на информация за тях, включително отстраняване на последствията от тези заплахи.
11. „Инцидент със „значително увреждащо въздействие“ се определя, като се вземат предвид следните показатели:
а) брой ползватели, разчитащи на услугите, предоставяни от субекта;
б) зависимост на други сектори - от посочените в приложение № 1, от услугата, предоставяна от субекта;
в) въздействието, което инцидентите биха могли да имат от гледна точка на мащаб и продължителност върху стопанските и обществените дейности или върху обществената безопасност;
г) пазарният дял на субекта;
д) географският обхват, що се отнася до областта, която би била засегната от даден инцидент;
е) значението на субекта за поддържането на достатъчно ниво на услугата, като се взема предвид наличието на други средства за предоставянето на тази услуга;
ж) когато е целесъобразно се вземат предвид и характерните за сектора показатели, за да се определи дали даден инцидент би имал значително увреждащо въздействие.
12. „Кибератака“ е опит за разрушаване, разкриване, променяне, забрана, кражба или получаване на неупълномощен достъп до/или неупълномощено използване на актив.
13. „Киберзаплаха“ е възможността за злонамерен опит да се повреди или прекъсне компютърната мрежа, системата, услугите и данните.
14. „Киберинцидент“ е събитие или поредица от нежелани или неочаквани събития, свързани с киберсигурността, които с голяма вероятност могат да предизвикат компрометиране на дейносттите и заплашват сигурността на информацията.
15. „Киберинцидент със значителен приоритет“ е киберинцидент, който оказва сериозно въздействие върху дейността на правителство, върху предоставянето на съществени услуги на голяма част от българското население или върху икономиката на Република България.
16. „Киберинцидент с висок приоритет“ е киберинцидент, който има сериозно въздействие върху голяма организация или върху по-широко/местно управление или който представлява значителен риск за предоставянето на съществените услуги на голяма част от българското население или върху икономиката на Република България.
17. „Киберинцидент със среден приоритет“ е киберинцидент който има сериозно въздействие върху средна организация или който представлява значителен риск за голяма организация или за по-широко/местно управление.
18. „Киберотбрана“ е комплекс от способности за защита и активно противодействие на кибератаки и хибридни въздействия върху комуникационните и информационните системи и системите за управление на страната и въоръжените сили във военно положение, извънредно положение или положение на война и върху стратегическите обекти от значение за националната сигурност.
19. „Киберпрестъпление“ са престъпни деяния, които се определят като такива в националното законодателство и/или в международното законодателство, насочени към и/или използващи киберпространството.
20. „Киберпространство“ е глобална мрежа от системи за компютърна обработка, електронни съобщителни мрежи, компютърни програми и данни.
21. „Киберсигурност“ са предпазни мерки и действия, които могат да бъдат приложени за предпазване на киберпространството както в гражданската, така и във военната област от заплахи, които са свързани с неговите независими мрежи и информационна инфраструктура, или могат да нарушат работата им. Киберсигурността обхваща три основни стълба: мрежова и информационна сигурност, правоприлагане и киберотбрана.
22. „Компютърна услуга „в облак“ е цифрова услуга, която дава възможност за достъп до променлив по мащаб и еластичен набор от компютърни ресурси, които могат да бъдат ползвани съвместно.
23. „Лица, осъществяващи публични функции“ е понятието, определено в § 1, т. 11 от Допълнителните разпоредби на Закона за електронното управление.
24. „Мащабен киберинцидент“ е, когато са регистрирани инциденти със среден приоритет в мрежите и информационните системи на повече от
4 от субектите по чл. 2, с висок приоритет в мрежите и информационните системи на повече от два от субектите по чл. 2 и с висок приоритет на повече от един от субектите по чл. 2. Класификацията на инциденти в зависимост от типа на атаката се определя по Методика на Агенцията на Европейския съюз за мрежова и информационна сигурност (ENISA).
25. „Мрежата на националните екипи за реагиране при инциденти с компютърната сигурност“ е международна група, включваща националните екипи за реагиране при инциденти с компютърната сигурност от държавите членки и екипите за реагиране при инциденти с компютърната сигурност на Европейския съюз.
26. „Мрежа и информационна система“ е:
а) електронна съобщителна мрежа по смисъла на чл. 2, буква „а” от Директива 2002/21/ЕО на Европейския парламент и на Съвета от 7 март
2002 г. относно обща регулаторна структура за електронни комуникационни мрежи и услуги (Рамкова директива) (ОВ, L 108, 24.4.2002);
б) всяко устройство или всяка група взаимосвързани или имащи връзка помежду си устройства, едно или няколко от които по програма обработва автоматично цифрови данни, или
в) цифрови данни, съхранявани, обработвани, извличани или пренасяни от елементи, обхванати от букви „а” и „б”, с цел обработване, използване, защита и поддръжка.
27. „Мрежова и информационна сигурност“ е способността на мрежите и информационните системи да издържат при дадено равнище на увереност на действия, засягащи отрицателно наличието, истинността, целостта или поверителността на съхранявани, пренасяни или обработвани данни или на свързаните с тях услуги, предлагани от тези мрежи и информационни системи или достъпни чрез тях.
28. „Национален компетентен орган“ е орган, отговарящ за изпълнението на задачите, свързани със сигурността на мрежите и информационните системи на операторите на съществени услуги и доставчиците на цифрови услуги съгласно този закон.
29. „Национална стратегия относно сигурността на мрежите и информационните системи“ е рамка, включваща стратегически цели и приоритети в областта на сигурността на мрежите и информационните системи на национално равнище.
30. „Национално единно звено за контакт“ е звено за контакт, което отговаря за координацията на въпросите, свързани със сигурността на мрежите и информационните системи, и за трансграничното сътрудничество на равнището на Европейския съюз.
31. „Онлайн място за търговия“ е цифрова услуга, която дава на потребители и/или търговци – по смисъла на определенията, съдържащи се съответно в чл. 4, параграф 1, букви „а” и „б” от Директива 2013/11/ЕС на Европейския парламент и на Съвета (18), възможността да сключват договори за онлайн продажби или услуги с търговци или на уебсайта на онлайн мястото за търговия, или на уебсайт на търговеца, използващ електронни услуги, предоставяни от онлайн мястото за търговия.
32. „Онлайн търсачка“ е цифрова услуга, която дава възможност на ползвателите на интернет да извършват търсене по правило на всички уебсайтове или уебсайтове на даден език въз основа на запитване по всякакви теми под формата на ключова дума, израз или друг вид въведени данни, в отговор на което тя подава интернет връзки, съдържащи информация, свързана с исканото съдържание.
33. „Оператор на съществени услуги“ е публичен или частен субект от посочените в приложение № 1 категории, който отговаря на критериите, определени в чл. 2, ал. 2.
34. „Организация, предоставяща обществени услуги“ е понятието, определено в § 1, т. 14 от Допълнителните разпоредби на Закона за електронното управление.
35. „Отказ от услуга“ е кибератака, при която извършителят се стреми да направи машина или мрежов ресурс, недостъпен за предназначените си потребители, временно или за неопределено време да наруши услугите на хост, свързан с интернет. Отказ от услуга обикновено се осъществява чрез наводняване на целевата машина или ресурс с излишни искания в опит да се претоварят системите и да се предотврати изпълнението на някои или на всички легитимни искания.
36. „Представител“ е физическо или юридическо лице, установено в Европейския съюз, което е изрично определено да действа от името на доставчик на цифрови услуги, който не е установен в Европейския съюз, и към което националният компетентен орган или екип за реагиране при инциденти с компютърната сигурност може да се обърне вместо към доставчика на цифрови услуги във връзка със задълженията на доставчика на цифрови услуги по Директива (ЕС) 2016/1148 на Европейския парламент и на Съвета от 6 юли 2016 г. относно мерки за високо общо ниво на сигурност на мрежите и информационните системи в Съюза (ОВ, L 194 от 19 юли 2016 г.).
37. „Регистър на имена на домейни от първо ниво“ е субект, който извършва и управлява регистрацията на имената на интернет домейни в специален домейн от първо ниво (top-level domain — TLD).
38. „Риск“ е потенциалната възможност дадена заплаха да се осъществи, като се експлоатира уязвимостта на активите, за да се причини вреда.
39. „Система за имена на домейни (Domain Name System – DNS)“ е йерархично разпределена мрежова система за именуване на домейни, която разпределя заявки за имена на домейни.
40. „Съществени услуги“ са услуги, чието предоставяне зависи от електронни съобщителни мрежи или от информационни системи и чието прекъсване може да окаже значително увреждащо въздействие върху предоставянето на социални или икономически дейности в:
а) един от следните сектори: енергетика, транспорт, банково дело, инфраструктура на финансовия пазар, здравеопазване, доставка и снабдяване с питейна вода, цифрова инфраструктура, или
б) една от следните цифрови услуги: онлайн място за търговия, онлайн търсачка и компютърни услуги в облак.
41. „Технически стандарт“ е правило по смисъла на чл. 2, параграф 1 от Регламент (ЕС) № 1025/2012 на Европейския парламент и на Съвета от
25 октомври 2012 г. относно Европейска стандартизация.
42. „Спецификация“ е техническа спецификация по смисъла на чл. 2, т. 4 от Регламент (ЕС) № 1025/2012.
43. „Точка за обмен в интернет“ е мрежово средство, което дава възможност за свързване на повече от две независими автономни системи преди всичко с цел улесняване на обмена на интернет трафик. Чрез точка за обмен в интернет се осъществява свързване само на автономни системи. Свързването чрез точка за обмен в интернет не изисква интернет трафикът, преминаващ между които и да е две участващи автономни системи, да преминава през трета автономна система, нито изменя или засяга този трафик по друг начин.
44. „Устойчивост“ е способност, свойство (на организацията) бързо да се адаптира и да се възстановява от известни или неизвестни промени в околната и вътрешната среда чрез цялостно и последователно осъществяване на управлението на риска, управление при извънредни ситуации и планиране на непрекъснатост на дейностите/операциите.
45. „Уязвимост“ е неустойчивост на информационната система, на вътрешния контрол и на процедурите за сигурност и тяхното реализиране, които може да бъдат използвани за деструктивно въздействие върху системата.
46. „Хибридно въздействие“ е комплексно въздействие, предизвикано от конвенционални и неконвенционални действия, кибератаки, психологическо и икономическо въздействие, кампании за дезинформация, инфилтрация на информационната среда, създаване на паника, финансиране на нарочно създадени политически субекти, с цел промяна на външнополитическата линия на набелязаните противници и други действия за постигане на политически и/или стратегически цели.
47. „Цифрова услуга“ е услуга по смисъла на чл. 1, параграф 1, буква „б” от Директива (ЕС) № 2015/1535 на Европейския парламент и на Съвета (17) от категориите, посочени в приложение № 2.
48. „Цифровата инфраструктура“ е инфраструктура, която включва точка за обмен в интернет, доставчици на DNS услуги и регистри на имената на домейни от първо ниво.

ПРЕХОДНИ И ЗАКЛЮЧИТЕЛНИ РАЗПОРЕДБИ

§ 4. В срок до 6 месеца от влизането в сила на този закон Министерският съвет приема наредбата съгласно чл. 2, ал. 6.
§ 5. В срок до 3 месеца от влизането в сила на този закон административните органи по чл. 14, ал. 1 идентифицират операторите на съществени услуги и доставчиците на цифрови услуги по чл. 2, ал. 1 и уведомяват председателя на Държавна агенция „Електронно управление” във връзка със задълженията му по чл. 4, ал. 1. Списъкът се преразглежда и при необходимост се актуализира на всеки две години.
§ 6. В срок до 3 месеца от влизането в сила на закона органите на изпълнителната власт, определени с решение на Министерския съвет за национални компетентни органи по смисъла на чл. 14, ал. 1, привеждат устройствените правилници на администрациите си в съответствие с изискванията на този закон.
§ 7. В Закона за електронните съобщения (обн., ДВ, бр. 41 от
2007 г.; изм. и доп., бр. 109 от 2007 г., бр. 36, 43 и 69 от 2008 г., бр. 17, 35, 37 и 42 от 2009 г.; Решение № 3 на Конституционния съд от 2009 г. – бр. 45 от 2009 г.; изм. и доп., бр. 82, 89 и 93 от 2009 г., бр. 12, 17, 27 и 97 от 2010 г., бр. 105 от 2011 г., бр. 38, 44 и 82 от 2012 г., бр. 15, 27, 28, 52, 66 и 70 от 2013 г., бр. 11, 53, 61 и 98 от 2014 г., бр. 14 от 2015 г.; Решение № 2 на Конституционния съд от 2015 г. – бр. 23 от 2015 г.; изм. и доп., бр. 24, 29, 61 и 79 от 2015 г., бр. 50, 95, 97 и 103 от 2016 г., бр. 58, 85 и 101 от 2017 г. и бр. 7, 21 и 28 от 2018 г.) се правят следните изменения и допълнения:
1. В чл. 243б, ал. 4 думите „министъра на транспорта, информационните технологии и съобщенията“ се заменят с „Националното единно звено за контакт по смисъла на чл. 15, ал. 1 от Закона за киберсигурност“.
2. В чл. 251г1:
а) създава се нова ал. 2:
„(2) В случай на кибератака/мащабен киберинцидент/
киберпрестъпление, засягащо субектите по чл. 2, ал. 1 от Закона за киберсигурност, предприятията, предоставящи обществени електронни съобщителни мрежи и/или услуги, предоставят незабавен достъп до данните по чл. 251б, ал. 1 от Закона за електронните съобщения въз основа на искане на съответния ръководител на структурите по чл. 251в, ал. 1 от Закона за електронните съобщения. Обменът на информация се извършва по електронен път, достатъчно надеждно защитен.“;
б) досегашните ал. 2-5 стават съответно ал. 3-6.
§ 8. В Закона за електронната търговия (обн., ДВ, бр. 51 от 2006 г.; изм. и доп., бр. 105 от 2006 г., бр. 41 от 2007 г., бр. 82 от 2009 г., бр. 77 и 105 от 2011 г. и бр. 57 от 2015 г.), в чл. 16, ал. 3 накрая се поставя запетая и се добавя „като с оглед на бързината и неотложността на кибератака, киберинцидент или киберкриза комуникацията да става по електронен път, достатъчно надеждно защитен”.
§ 9. В Закона за електронното управление (обн., ДВ, бр. 46 от
2007 г.; изм. и доп., бр. 82 от 2009 г., бр. 20 от 2013 г., бр. 40 от 2014 г. и бр. 13, 38 50, 62 и 98 от 2016 г.) се правят следните изменения:
1. В чл. 7в:
а) в т. 1 буква „г” се отменя;
б) т. 6 се отменя.
2. В чл. 7в т. 12 се изменя така:
„12. удостоверява съответствието на информационните системи с изискванията за оперативна съвместимост и осъществява контрол върху администрациите за спазване на тези изисквания.”
3. В чл. 7к, ал. 2 т. 3 се отменя.
4. В чл. 43 ал. 2 се изменя така:
„(2) Общите изисквания за оперативна съвместимост се определят с наредба на Министерския съвет.“
5. В глава четвърта „Техническа инфраструктура, мрежи и информационни системи“ раздел III „Мрежова и информационна сигурност“ се отменя.
6. В чл. 57, ал. 1 думите „и мрежова и информационна сигурност“ се заличават.
7. В чл. 60, ал. 1 думите „мрежова и информационна сигурност и“ се заличават.
8. В чл. 60, ал. 2 думите „информационната сигурност и“ се заличават.
§ 10. В Закона за управление и функциониране на системата за защита на националната сигурност (ДВ, бр. 61 от 2015 г.), в чл. 9, т. 1, буква „ж” думите „информационната сигурност“ се заменят с „мрежовата и информационната сигурност“.
§ 11. Изпълнението на този закон се възлага на Министерския съвет.
§ 12. Законът влиза в сила 3 дни след обнародването му в „Държавен вестник“ с изключение на чл. 13, ал. 2, която влиза в сила от
1 януари 2021 г.
Законът е приет от 44-ото Народно събрание на ………………...… 2018 г. и е подпечатан с официалния печат на Народното събрание.
ПРЕДСЕДАТЕЛ НА
КОМИСИЯТА ПО ВЪТРЕШНА
СИГУРНОСТ И ОБЩЕСТВЕН РЕД:
ЦВЕТАН ЦВЕТАНОВ