Обществени консултации

Проект на Закон за кибер сигурност

Законопроектът е изготвен в изпълнение на ангажиментите на Република България като държава член на Европейския съюз, която следва да въведе в националното си законодателство до 09.05.2018 г. разпоредби и да създаде организация за изпълнението на Директива (ЕС) 2016/1148 на Европейския парламент и на Съвета от 6 юли 2016 година относно мерки за високо общо ниво на сигурност на мрежите и информационните системи в съюза (ОВ, L 194 от 19 юли 2016 г.).

Директивата е първото всеобхватно законодателство в областта на мрежовата и информационна сигурност на ниво ЕС и предоставя хармонизирана правна основа за борба с кибер инцидентите в целия ЕС. Тя трябва да реши проблема с недостатъчното равнище на защита срещу инциденти, рискове и заплахи в областта на мрежовата и информационната сигурност в ЕС, което възпрепятства правилното функциониране на вътрешния пазар, да способства за преодоляването на нарастващия брой инциденти, както и с цел постигане на високо общо ниво на мрежите и информационните системи във всички сегменти на кибер пространството и на всички нива – държава, граждани, фирми и бизнес организации, доставчици и потребители на услуги.     

Проектът на Закон за киберсигурност разглежда:

– организацията, управлението и контрола на киберсигурността, определянето на компетентните органи в областта на киберсигурността, както и техните функции и правомощия, регламентирането на дейностите по предприемане на необходимите мерки за постигане на високо общо ниво на сигурност на мрежите и информационните системи, като един основен стълб на киберсигурността;

– създаване на институционалната рамка в областта на киберсигурността, превенцията и противодействието на кибер атаките, насочена към по-голяма ефективност и по-добра координация между съществуващите органи и звена в публичната администрация;

– регулацията на мрежовата и информационна сигурност на административните органи, изискванията към тях да осигуряват и отговарят за мрежовата и информационната сигурност на използваните от тях информационни системи, също така изискванията и стандартите за сигурност, на които трябва да отговарят информационните системи за въвеждане, изпращане, обработка, достъп, обмен, съхраняване и архивиране на данни, както и общите мерки за сигурност, които трябва да предприемат;

– статута и функционирането на операторите на съществени услуги (ОСУ);

– националните компетентни органи (НКО), които разполагат с всички необходими правомощия и средства за оценяване на това дали операторите на съществени услуги изпълняват задълженията си;

– статута и функционирането на доставчиците на цифрови услуги (ДЦУ).

На основание чл. 26, ал. 4, изр. второ от ЗНА, срокът за провеждане на обществените консултации е 14-дневен. Определянето на по-краткия срок за обществено обсъждане на проекта се налага, поради наближаващия краен срок за транспониране на Директивата – 09.05.2018 г.

 


Дата на откриване: 21.3.2018 г.
Целева група: Всички заинтересовани
Сфера на действие: Държавна администрация
Дата на приключване: 04.4.2018 г.
Коментари
Коментари
Добави коментар
 
03 април 2018 г. 10:36:06
lslilova

Коментар по проект на Закон за киберсигурност

1. Да се обмисли удачно ли е Глава първа на проекта на Закон за кибер сигурност да бъде разделена на две глави, като се създаде нова глава „Организация в областта на кибер сигурността“ (или друго подходящо заглавие), в която да се включат чл. 4, чл. 5 и чл. 7 – 17 на проекта на Закон.

2. С преходните и заключителни разпоредби на проекта на Закон за кибер сигурност с § 11. се правят промени в Закона за електронното управление, като чл. 7в, т. 1, буква г) се отменя т.е. отменя се текста, с който председателят на ДА ЕУ провежда държавната политика в областта на мрежовата и информационна сигурност. Във връзка с тези и останалите промени в ЗЕУ, направени с т. 2 и т. 3 на § 11. от преходните и заключителни разпоредби на Закона за кибер сигурност, възникват въпроси, които би трябвало да се отразят в доклада към проекта на Закона за кибер сигурност или да се отменят/променят още разпоредби на ЗЕУ, а именно:

- какво е общото и различното в дефинициите за мрежова и информационна сигурност  съгласно ЗЕУ (§ 1, т. 10 от допълнителните разпоредби на ЗЕУ), Наредбата за общите изисквания  за мрежова и информационна сигурност, приета на основание чл. 43, ал. 2 от ЗЕУ (§ 1, т. 3 от допълнителните разпоредби на наредбата) и съгласно проекта на Закон за кибер сигурност  (§ 3, т. 20 от допълнителните разпоредби на проекта на Закон);

- какво ще бъде общото и различното по отношение на наредбата по чл. 43, ал. 2 от Закона за електронното управление (Наредба за общите изисквания за мрежова и информационна сигурност) и наредбата по чл. 18, ал. 3 на проекта на Закон за кибер сигурност по отношение на административните органи, лицата, осъществяващи публични функции и организациите, предоставящи обществени услуги, посочени както в чл. 1, ал. 1 и 2 на ЗЕУ, така и в чл. 2, ал. 1, чл. 18, ал. 3 и § 11, т. 2 и т. 3 от преходните и заключителни разпоредби на проекта на Закон за кибер сигурност. Ако в наредбата по чл. 43, ал. 2 от ЗЕУ останат разпоредбите само за оперативна съвместимост, то това също би трябвало да се отрази;

- ,азпоредбите в Hлава четвърта, раздел III (Мрежова и информационна сигурност) на ЗЕУ не се ли припокриват с тези в проекта на Закон за кибер сигурност – чл. 25, чл. 26 и др.

3. В чл. 26 се говори за класифицирани мрежи, ако това са автоматизираните информационни системи или мрежи, в които се създава, обработва, съхранява и пренася класифицирана информация по ЗЗКИ, то е необходимо тези системи или мрежи да се отразят в проекта на Закон за кибер сигурност съгласно нормативната уредба използвана по ЗЗКИ. Да се обърне внимание и на последния публикуван за обсъждане проект на ЗИД на ЗЗКИ, който внася съществени промени в разпоредбите за автоматизираните информационни системи или мрежи, като наименованието им се заменя с комуникационни и информационни системи и се допускат междусистемни връзки при определени условия със системи свързани с интернет (във връзка с определението за килер пространство) или други публични мрежи. Да се помисли и за необходимостта в проекта на Закон за кибер сигурност да се съдържат разпоредби аналогични на тези в чл. 1, ал. 3 на ЗЕУ.

4. Да се направят с преходните и заключителни разпоредби на проекта на Закона за кибер сигурност промени и в чл. 56, т. 3 и чл. 105б, ал. 1 на Закона за отбраната и въоръжените сили на Република България, като израза „киберотбрана“ се замени с „кибер отбрана“.

5. Съгласно чл. 9, т. 1, буква ж) от Закона за управление и функциониране на системата за защита на националната сигурност, Съветът по сигурността анализира състоянието на системата за защита на националната сигурност, изготвя оценки и предлага решения и действия по отношение на осигуряването и защитата на информационната сигурност от посегателства. Да се прецени необходимостта от разширение на понятието „информационна сигурност“ на „мрежова и информационна сигурност“, както и в чл. 5 на проекта на Закина за кибер сигурност да се отрази и взаимодействието на СКС със СС в областта на „мрежовата и информационна сигурност“.

03 април 2018 г. 14:52:04
Йоан Каратерзиян

Липсват наказателни мерки за органите на изпълнителната власт.

Коментар по "Глава седма. АДМИНИСТРАТИВНОНАКАЗАТЕЛНИ РАЗПОРЕДБИ."
Липсват наказателни мерки за органите на изпълнителната власт, осъществяващи дейност по този закон. Предвид огромните правомощия и практически феодалните взаимоотношения в страната, този закон, ще се превърне в поредното средство за оказване на натиск от страна на управляващата прослойка.
 

03 април 2018 г. 14:56:53
Йоан Каратерзиян

Да се даде легална дефиниция на понятията "предизвикване на отказ на услуга", "зловреден софтуер" и.

Необходимо е да се допълни § 3 на ДР на проекта на Закон като се дадат легални дефиниции на понятията "предизвикване на отказ на услуга", "зловреден софтуер" и "зловреден интернет трафик". Отсъствието на тези определения, дава се реална възможност да бъде предприето преследване срещу добросъвестни потребители на услуги, ако софтуерът на определена институция не е достатъчно качествен и не може да обработи достатъчно заявки. Има същатата възможност и при създаден голям интерес към достъп до определен интернет адрес или адрес на електронна поща. Всички тези потенциални възможности, трябва да бъдат предвидени в закона.