В отговор на нарастващите киберзаплахи, законопроектът цели въвеждането на подходящи мерки за повишаване на общото ниво на киберсигурност чрез предвиждането на определени задължения за т.нар. „съществени“ и „важни“ субекти - държавни органи и юридически лица от частния сектор, попадащи в приложното поле на Директива NIS2.

Едно от ключовите изменения е разширяването на обхвата на задължените субекти, с което се цели да бъде осигурено високо ниво на киберсигурност и в други икономически сектори.

В полето на новата нормативна рамка попадат следните области, посочени изрично в приложения към закона:

Приложение 1

·         Енергетика (електроенергия, районно отопление и охлаждане, нефт, природен газ и водород);

·         Транспорт (въздушен, железопътен, воден и автомобилен);

·         Банков сектор;

·         Инфраструктури на финансовия пазар;

·         Здравеопазване;

·         Питейна вода;

·         Отпадъчни води;

·         Цифрова инфраструктура;

·         Управление на услуги в областта на ИКТ (информационни и комуникационни технологии);

·         Публична администрация;

·         Космическо пространство.

Приложение 2

·         Пощенски и куриерски услуги;

·         Управление на отпадъците;

·         Производство, изготвяне и дистрибуция на химикали;

·         Производство, преработка и разпространение на храни;

·         Производство на медицински изделия и медицински изделия за инвитро диагностика; компютри, електронни и оптични продукти; електрически съоръжения; некласифицирани другаде машини и оборудване; моторни превозни средства ремаркета и полуремаркета; друго транспортно оборудване;

·         Доставчици на цифрови услуги;

·         Научни изследвания.

Ако лицето извършва стопанска дейност в някоя от сферите по Приложение 1 и е голямо предприятие по смисъла на Закона за счетоводството, се определя като „съществен“ субект. Ако лицето извършва стопанска дейност в някоя от сферите по Приложение 1 или Приложение 2 и е средно предприятие, се определя като „важен“ субект. Разликата между режима на „съществените“ и „важните“ е в две направления – интензитета на мерките, които следва да имплементират с оглед нормативно съответствие, както и в размера на потенциалните имуществени санкции при неизпълнение. Като общо правило, микро- и малките предприятия са извън обхвата на закона.

Независимо от горните критерии, задължени лица по този закон са (без значение от вида предприятие) и всички административни органи, всички доставчици на квалифицирани удостоверителни услуги и регистри на имена на домейни от първо ниво, доставчици на DNS услуги, както и субекти, които се явяват „критични“, т.е. извършват специфични дейности или дейността им е критична, поради своята специфична значимост на национално или регионално равнище за конкретния сектор или вид услуга. Преценката за критичност ще бъде извършвана на ad hoc принцип от компетентните органи.  

Всички задължени субекти ще трябва да осигурят минимален набор от технически мерки за мрежова и информационна сигурност, както и да изготвят и приемат вътрешни политики и процедури в областта на киберсигурността, които да описват предприетите мерки за съответствие и начините за справяне/реакция при киберзаплахи и киберинциденти.

Предвидена е и нова процедура по докладване за настъпили киберинциденти пред местния компетентен орган - националния екип за реагиране при инциденти с компютърната сигурност („НЕРИКС“), създаден към Министерството на електронното управление, в конкретно определени срокове.

Надзорните органи ще могат да извършват предварителен, текущ и последващ надзор за спазването на нормативната уредба, като например - извършване на одити на място при задължените субекти, изискване на данни, информация и документи, налагане на принудителни административни мерки и др. При констатирано неспазване на изискванията за мрежова и информационна сигурност, оправомощените органи ще могат да налагат санкции в значителен размер, като:

- за „съществени“ субекти е предвидена имуществена санкция от минимум 200 000 лева с лимит до 2% от общия световен годишен оборот за предходната финансова година на предприятието;

- за „важни“ субекти, санкцията не може да бъде под 100 000 лева и може да достигне до 1,4% от общия световен годишен оборот за предходната финансова година на предприятието.

Промените са от съществено значение за бизнеса на местно ниво. Те ще засегнат значителен брой средни и големи предприятия, които ще трябва да приведат дейността си в съответствие с новата уредба чрез ангажиране на консултанти в сферата на информационните и правните услуги, включително с оглед предвидените имуществени санкции в значителни размери.