Народното събрание прие дългоочакваните от бизнеса изменения в Закона за киберсигурността („ЗК“), с които се транспонират изискванията на Директива (ЕС) 2022/2555 (NIS 2). С тях се въвежда съществено разширяване на кръга от задължени субекти по ЗК, като се предвиждат и значително по-строги изисквания за управление на риска в киберсреда. Новата регулаторна рамка също така променя интензитета на надзор за спазване на нормативните изисквания, както и държавната санкционна политика, като киберсигурността вече се третира като елемент от националната сигурност и икономическата устойчивост на страна, а не единствено като техническа функция на ИТ отделите.

NIS2 и въвежда нови, значително по-високи стандарти за управление на риска и защита на информационните системи. Натрупаните през последните години киберинциденти показаха, че сигурността вече не е второстепенен технически въпрос, а ключов елемент от стратегическото управление и устойчивостта на организациите както в частния, така и в публичния сектор.

На първо място законът значително разширява обхвата си, като секторите, за които се отнася, са разделени в две категории: „сектори с висока степен на критичност“ и „други критични сектори“. Наред с областите, регулирани и досега – енергетика, транспорт, финансови услуги, здравеопазване, снабдяване и разпределение на питейна вода и цифрова инфраструктура, се включват и редица нови сфери. Към тях се отнасят публичната администрация, космическият сектор, пощенските и куриерските услуги, управлението на отпадъци и отпадъчни води, както и производството на критични продукти (като медицински изделия и химикали) и дейностите по производство, преработка и разпространение на храни.

Новата уредба очертава обхвата на задължените по ЗК лица чрез комбинация от два основни показателя – икономическата дейност, която извършват (имайки предвид секторите по-горе), и мащаба на предприятието, преценяван според числеността на персонала и финансовите резултати. По правило всички средни и големи предприятия в посочените по-горе критични сектори попадат автоматично под действието на закона. В определени случаи изискванията ще се прилагат и към други предприятия (включително малки), когато те изпълняват функции с ключово значение или оперират в специално регулирани сфери.

ЗК въвежда двустепенна класификация на засегнатите задължени лица – като „съществени“ се определят операторите с по-голямо значение за обществото и инфраструктурата, докато „важните“ обхващат останалите участници в стратегически области.

В този смисъл началният и ключов въпрос за всяка организация е да извърши задълбочен анализ дали попада в категорията на „съществен“ или „важен“ субект по смисъла на новата нормативна рамка. Тази преценка следва да се основава на характера на осъществяваната дейност, размера и обхвата на операциите, както и на значението на дружеството за изпълнението на критични обществени или икономически функции (при отчитане на описаните сектори).

Предвижда се задължителен минимум от мерки, които следва да бъдат въведени от всички обхванати организации – както „съществени“, така и „важни“ субекти. Целта е да се изгради интегриран модел за управление на киберриска, който обхваща целия цикъл на защита – предотвратяване на инциденти, ефективно реагиране при настъпване на атака и своевременно възстановяване на дейността и т.н. В този контекст новият режим изисква внедряване на комплексни мерки за управление на риска, включително (неизчерпателно):

– анализ и оценка на заплахите;

– политики за сигурност на информационните системи;

– процедури за реакция при инциденти;

– планове за непрекъсваемост на дейността и възстановяване при бедствия;

– контрол върху сигурността на доставчици и вериги на доставки;

- вътрешни правила, обучения и др.

Особено съществен акцент е поставен върху отговорността на управителните органи. Членовете на управителните и контролни органи на задължен субект по ЗК носят задължение за одобряване и надзор върху мерките за киберсигурност, като законът предвижда възможност за персонална тяхна отговорност при системно неизпълнение. Киберсигурността се издига на равнище корпоративно управление и изисква интеграция в стратегическото планиране на дружеството.

Въвеждат се стриктни срокове за уведомяване при инциденти със значително въздействие. Засегнатите субекти са длъжни да подават ранно предупреждение, последвано от детайлна информация в нормативно определени срокове. Неспазването на тези задължения подлежи на административнонаказателна отговорност, като санкциите достигат значителни размери, обвързани с оборота на предприятието.

Санкционният режим при неспазване на новите изисквания е значително по-тежък от досега действащия и включва санкции, достигащи в максимален размер:

- при съществени субекти: до 10 000 000 евро или 2% от глобалния годишен оборот за международни компании, но не по-малко от 25,000 евро.

- при важни субекти: до 7 000 000 евро или 1.4% от глобалния оборот, но не по-малко от 12, 500 евро.

Засилва се и надзорният механизъм, включително правомощия за извършване на проверки, изискване на информация, даване на задължителни предписания и налагане на принудителни административни мерки. Организациите попаднали в обхвата на закона имат задължение да информират националните компетентни органи при всеки киберинцидент, който съществено засяга предоставяните от тях услуги. Режимът предвижда изключително кратки срокове – при установяване на инцидент със значително въздействие трябва да бъде изпратено първоначално известие незабавно, но не по-късно от 24 часа, а в последствие и подробно уведомление в рамките на 72 часа от момента на установяване.

Новата уредба трансформира киберсигурността от оперативен в регулаторен и управленски приоритет. Необходим е систематичен преглед на договорните отношения с доставчици, вътрешните правила за защита на информацията, процедурите за реагиране при инциденти и обучението на персонала. Компаниите следва да оценят съответствието си не само спрямо технологични стандарти, но и спрямо нормативните изисквания за документиране, отчетност и доказване на предприети мерки.

В обобщение, новостите в ЗК очертава по-строг, структуриран и санкционно обезпечен режим, който изисква проактивно правно и организационно преструктуриране. Навременната оценка на обхвата и задълженията е ключова за ограничаване на регулаторния риск и за осигуряване на устойчивост в условията на нарастващи киберзаплахи.

Този материал е подготвен за и е част от правно-информационен бюлетин, изготвен от Адвокатско дружество „Пенков, Марков и партньори“. Публикациите в него не представляват правен съвет и нямат задължителен характер. „Пенков, Марков и партньори“ запазва всички права върху този материал, като всяко разпространение на същия подлежи на предварително писмено съгласие от страна на адвокатската кантора.