Какво следва за киберсигурността в България? Транспонирането на директивата NIS2

Вместо увод

Така наречената Директива NIS2 е ДИРЕКТИВА (ЕС) 2022/2555 на ЕП и на Съвета от 14.12.2022 година относно мерки за високо общо ниво на киберсигурност в Съюза. Това всъщност е актуализираната версия на Директива (ЕС) 2016/1148, приета през 2016 г. (директива за мрежовата и информационна сигурност – NIS). Новата директива е приета след като в ЕС е отчетено, че първата е постигнала значими резултати, но към момента вече не е достатъчно ефективна. Сред успехите на директивата NIS e, че тя е допринесла за значително подобряване на киберсигурността на национално ниво в ЕС и в резултат на нейното прилагате държавите-членки са приели национални стратегии за киберсигурност и са определили компетентни органи. Положителни резултати са настъпили и по отношение подобрената киберустойчивост на публично правните и на частно правните субекти в 7 сектора, както и в рамките на няколко цифрови услуги като онлайн местата за търговия, онлайн търсачките и компютърните услуги в „облак“. Въведени са определени задължения за доставчиците, включително да докладват за инциденти. В резултат на директивата е засилено, макар и недостатъчно, сътрудничеството между отделните държави в ЕС.

Въпреки постиженията, оценката за обхвата на директивата NIS, е че заради безспорно засилената цифровизация, броят на секторите, засегнати от нея значително надхвърля досега включените енергетика, транспорт, банково дело, инфраструктури на финансовия пазар, здравеопазване, доставка и снабдяване с питейна вода и цифрови инфраструктури. От друга страна директивата е позволявала на наистина ключови доставчици на услуги да не се изисква въвеждането на мерки за сигурност и докладване на инциденти. Давала е и значителна свобода на държавите членки, поради което се наблюдават съществени разлики както в режима за докладване на инциденти, така и в контрола и налаганите санкции.

По тези и редица други причини е приета и новата директива, която си поставя доста амбициозни цели по отношение киберсигурността. Тя цели да подобри общото равнище на киберсигурност в съюза, разширявайки обхвата на отраслите, попадащи под регулацията ù, както и да въведе по-строги изисквания за докладване на инциденти и по-високи стандарти за физическа и киберсигурност. За държавите е предвидено да имат свои стратегии, определени компетентни органи, единни звена за контакт и изградени екипи за реакция при инциденти. Всяка държава се ангажира да въведе задължения за съответните групи субекти, свързани с управление на киберсигурността и с управление и докладване на киберинциденти.

Може да се каже, че насоките на промените са две – разширяване на обхвата от гледна точка задължени лица и въвеждане на засилени задължения за тях.

Откога настъпват промените?

В директивата е предвидено задължение всяка държава да я транспонира до 17 октомври 2024 г. Затова и логичното очакване е промените да настъпят именно от тази дата. Това обаче не е съвсем така, или по-точно съвсем не е така. Доколкото става дума за директива, за юридическите и физическите лица, задълженията от нея настъпват от момента на транспонирането й. България към момента още не го е направила, макар в Парламента да беше внесен Закон за изменение и допълнение на Закона за киберсигурност. Това значи, че задължения за предприятията още не са настъпили. Имайки предвид проекта на внесения закон, той няма да е и последната стъпка по въвеждане на новите изисквания. След влизането му в сила започва да тече и срокът за приемане на нова Наредба от страна на Министерски съвет, уреждаща допълнително правната материята в областта. От нея ще зависи например реда за достъпа, съхранението и воденето на регистъра, в който ще се вписват субектите, за които ще възникнат новите задължения. Пак от влизането на закона в сила  започва да тече срок за Министерски съвет да постанови решение, с което определя към кои административни органи ще бъдат създадени секторни екипи за реагиране при инциденти с компютърна сигурност.

С други думи задължения за предприятията още няма да настъпят, но вероятно законът ще бъде от първите приети в новото Народно събрание, за да не бъде наказана България за закъснението си да въведе новите правила.

За кого ще има нови задължения?

Директивата значително разширява обхвата на субектите, за които държавите са длъжни да предвидят нови изисквания и ги разграничава в две категории – съществени и значими. За двата вида предприятия има и разлики в новите изисквания. Съществените субекти са тези, които попадат в секторите: енергетика; транспорт; банково дело; инфраструктура на финансовия пазар; здравеопазване; питейна вода; отпадъчни води; цифрова инфраструктура; публична администрация; космическо пространство. Значимите субекти от своя страна са тези в секторите пощенски и куриерски услуги; управление на отпадъците; производство на изделия и вещества и дистрибуция на химикали; производство, преработка и разпространение на храни; производствени и цифрови доставчици.

Освен с оглед предмета на дейност, директивата прави разлика и според обема на предприятията. Микропредприятията и малките предприятия са изключени от обхвата на новите правила. Това обаче не се отнася за доставчиците на електронни съобщителни мрежи или на обществено достъпни електронни съобщителни услуги, за доставчиците на удостоверителни услуги, регистрите на имената на домейни от първо ниво и публичната администрация, както и на някои други субекти, като например единствени доставчици на дадена услуга в дадена държава членка. Последните групи при всички положения трябва да се включат в обхвата на промените. Тук е важно да се посочи, че водеща ще е реално извършваната дейност, а не просто декларираната от съответното дружество. Подробни правила в тази връзка се очакват в подзаконовата нормативна уредба, която предстои да бъде приета.

Държавите – членки трябва до 17 април 2025 г. да изготвят списък на съответните  субекти, който подлежи на преглеждане и актуализация на всеки две години.  Внесеният в Народното събрание проект предвижда в България този списък да е под формата на непубличен регистър, воден от министъра на електронното управление.

Какво следва за държавите?

Държавите-членки трябва да приемат национална стратегия за киберсигурност, в която да определят стратегическите цели и подходящи мерки на политиката, както и подходящи регулаторни мерки за постигане и поддържане на високо ниво на киберсигурност. Те са длъжни да създадат и рамка за координирано оповестяване на уязвимости и да определят екипи за реакция при инциденти с киберсигурност (ЕРИКС). Националното законодателство трябва да предвижда национален компетентен орган за  управлението на мащабни инциденти и кризи, както и   национално единно звено за контакт по киберсигурност, което ще осигурява трансгранично сътрудничество. На наднационално ниво ще се създаде и група за сътрудничество, както и мрежа на различните ЕРИКС. Европейската комисия от своя страна ще трябва да установи система за партньорска проверка, чрез която да се извършват редовни проверки на ефективността на политиките на държавите членки в областта на киберсигурността.

Ако се приеме проектът, предложен в Народното събрание, това ще значи, че в България национален компетентен орган за всички административни органи ще бъде Министерството на електронното управление, към което ще се създаде и  Национално единно звено за контакт. Към него ще има и национален екип за реагиране при инциденти, както и междуведомствена група. Предвижда се да функционира и Съвет по киберсигурността, който отговаря за управлението на мащабните киберинциденти и кризи.

Какво (ще) следва за предприятията?

Директивата изисква от държавите членки да гарантират, че управителните органи на всички задължени субекти ще одобряват мерките за управление на риска за киберсигурността, предприети от съответните субекти и ще преминават специфично обучение. Всяко задължено предприятия ще трябва да предприема подходящи и пропорционални технически и организационни мерки за управление на рисковете за киберсигурността на мрежите и информационните системи. Субектите ще трябва също така да уведомяват националните компетентни органи или ЕРИКС за всеки инцидент с киберсигурността, оказващ значимо въздействие върху предоставяната от тях услуга. При определени условия ще трябва да се уведомяват и получателите на техните услуги.

Те ще трябва да могат да участват свободно в свързан с киберсигурността обмен на информация. Всички останали дружества пък ще  могат да докладват доброволно значими инциденти, киберзаплахи или ситуации, близки до инциденти.

Как ще се контролира изпълнението?

Една от разликите в уредбата за двете групи задължени субекти е формата на контрол. Ще се въведе режим на предварителен (ex-ante) надзор за съществените субекти и режим на последващ (ex-post) надзор  за значимите субекти. Първите ще бъдат проверявани при всички положения, а вторите – когато са налице доказателства или индикации, че не спазват изискванията за сигурност и уведомяване за инциденти.

По същество контролът ще се изразява във възможността на контролните органи, в лицето преди всичко на Министерство на електронното управление, да правят проверки на място или дистанционно, както и в целеви одити на сигурността. Ще се правят и проверки за сигурност, основани на обективни, недискриминационни, справедливи и прозрачни критерии за оценка на риска. Компетентните органи ще могат да отправят и искания за информация, необходима за оценка на мерките за управление на риска в областта на киберсигурността, а също и искания за достъп до данни, документи и всякаква информация. Предприятията ще са длъжни да им предоставят и доказателства за изпълнение на политиките в областта на киберсигурността.

Когато става дума за контрол (а също и за задължителната регистрация), важно е да се уточни, че по правило субектите се считат за попадащи под юрисдикцията на държавата членка, в която предоставят услугите си. Някои видове субекти обаче (доставчиците на DNS услуги, регистрите на имена на домейни от първо ниво, доставчиците на компютърни услуги „в облак“, някои доставчици на цифрово съдържание и др.) се считат за попадащи под юрисдикцията на държавата членка, в която се намира основното им място на установяване в Съюза. При трансгранично предоставяне на услуги ще е налице сътрудничество или взаимна помощ между отделните държави.

Ако в резултат на контрола се установят нарушения, санкции ще могат да се налагат както на самите юридически лица, така и на отделните им ръководители, в зависимост от вида на самото нарушение. За „съществени субекти“ имуществените санкции ще могат да достигнат до 2% от годишния оборот, а за „значимите“ – до 1,4% от годишния оборот. Ако годишните обороти са малки, горната граница се вдига на 20 милиона лева за съществените и 14 милиона лева за значимите субекти. Проектът на закон предвижда и долна граница, която е съответно 50 000 и 25 000 лева. Глоби в размер от 1 000 до 10 000 лева пък ще могат да се налагат на ръководителите на административните органи, и на управителите или членовете на управителните органи на съществените и важните субекти. Това би станало, ако не са изпълнили задължението да одобрят съответните мерки или да преминат задължителното за тях обучение (което трябва да се случва не по-рядко от на всеки две години), както и да организират обучението, предвидено за служителите им.

Как да се избегнат санкции?

Практическите действия по изпълнение на изискванията на директивата (след като бъдат въведени в закона и следващите го наредби и решения), с които да се избегнат евентуалните санкции са няколко. На първо място всеки задължен субект трябва внимателно да прегледа всички налични мерки и процедури за киберсигурност с оглед точна оценка за съответствие с новите изисквания. За да се определи кои мерки са подходящи за даден субект, е необходимо да се вземат предвид резултатите от координираните оценки на риска за сигурността на критичните вериги на доставка. Вече съществуващите  политики и процедури трябва да бъдат синхронизирани с директивата, а при липса на такива – да бъдат създадени. Задължително е да се предвиди начално, както и последващо (на всеки две години) обучение на управителния орган и периодично обучение и подобряване на знанията. Освен въвеждане на разписани текстове и процедури, необходимо е и внедряване на съвременни решения за киберсигурност, с които да се докладва за инциденти и да се осигури прозрачност и разбира се, разработване план за реагиране при инциденти.

адв. Христо Копаранов