Коментиращи припомнят, че националната стратегия е изтекла миналата година
Никога не съм получавала прессъобщение от „ЦЕТИН България“ ЕАД, жалко. Коментарите им по проекта на Закон за изменение и допълнение на Закона за киберсигурност заслужават популяризиране. Те са само част от коментарите в Справката за отразяване на предложенията и становищата към законопроекта, достъпен в портала за обществени консултации. Справката е 114 страници, но четенето си заслужава всяка от тях.
Например едно от предложенията на „ЦЕТИН България“ ЕАД, подкрепено с мотиви, е „да бъде създадена нова ал. 3 на чл. 3 със следното съдържание (§ 3 от ЗИДЗКС): „(3) Мерките за постигане на високо общо ниво на киберсигурност за субектите по чл. 4, т. 3, буква „а“ се определят в правилата за минималните изисквания за сигурност на обществените електронни съобщителни мрежи и услуги и методи за управление на риска за тяхната сигурност по чл. 243, ал. 3 от Закона за електронните съобщения.“ Допълнително, във връзка с горепосоченото ни предложение (тук, макар и несистематично от гл. т. структурата на ЗИДЗКС, но с цел яснота и проследимост), предлагаме в § 42 от Законопроекта: Точки 3 и 4 буква „а“ да отпаднат от ЗИДЗКС; Точка 4, буква „б“ да се измени както следва: „б) чл. 243б, чл. 243в, чл. 244 и чл. 244а се отменят“ Алтернативно, в случай че не приемете горепосоченото ни предложение, предлагаме да бъде създадена нова ал. 3 на чл. 3 със следното съдържание (за улеснение предоставяме в “bold” различната част на предложения нормативен текст):
„(3) Мерките за постигане на високо общо ниво на киберсигурност за субектите по чл. 4, т. 3, буква „а“ се определят в правилата за минималните изисквания за сигурност на обществените електронни съобщителни мрежи и услуги и методи за управление на риска за тяхната сигурност, приети от Комисията за регулиране на съобщенията. Правилата се приемат след провеждане на обществено обсъждане и се обнародват в „Държавен вестник“. При изготвянето и приемането на правилата Комисията се съобразява с изискванията на приложимите актове на Европейската комисия и отчита в максимална степен препоръките, насоките, становищата, общите и добрите практики и методологии на Агенцията на Европейския съюз за киберсигурност (ENISA), както и приложимите европейски схеми за сертифициране на киберсигурността, установени с актове на Европейската комисия, и приложимите европейски и международни стандарти и стандартизационни документи.
„Останалите алинеи на чл. 3 да се преномерират съответно, независимо от това дали ще приемете основното или алтернативното ни предложение.
Мотиви: На първо място,бихме искали да обърнем внимание, че настоящият ЗИДЗКС не отчита материалния напредък на доставчиците на обществени електронни съобщителни мрежи и услуги в сферата на киберсигурността, реализиран въз основа на съществуващото законодателство. Нещо повече, в него задължението за държавите членки, предвидено в чл. 21, ал. 2 от Директивата, да приемат по отношение на съществените и важни субекти (каквито са доставчиците на обществени електронни съобщителни мрежи и услуги) подходящи и пропорционални технически и организационни мерки за управление на рисковете за сигурността на мрежовите и информационни системи, изобщо липсва. В чл. 3, ал. 1 от Законопроекта е предвидено, че мерките за постигане на високо общо ниво на киберсигурност се определят с наредба, издадена от Министерски съвет по предложение на министъра на електронното управление. От съдържанието на наредбата като задължени лица са изключени субектите по „чл. 4, ал. 1, т. 3, буква „а“. Независимо, че ал. 1 изобщо липсва в чл. 4 от Проекта (разпоредбата има само точки, но не и алинеи), считаме че разпоредбата цели да изключи именно „доставчиците на обществени електронни съобщителни мрежи или на обществено достъпни електронни съобщителни услуги, които отговарят на критериите за средни предприятия по смисъла на чл. 3, ал. 1 от Закона за малките и средните предприятия“ и, които са посочени в чл. 4, т. 3, б. „а“ от Проекта.
Липсата в Законопроекта на изрична законова делегация за приемане на такива правила за доставчиците на обществени електронни съобщителни мрежи или услуги, считаме за съществена празнина (или по-скоро нормативен пропуск при изготвянето на Законопроекта), която поставя в неяснота и дори изцяло изключва мерки, които следва да се приемат и прилагат спрямо последните.“
В коментарите Васил Грънчаров експерт по киберсигурност, отбелязва, че „проектът на ЗИД на ЗКС е разработен, без наличието на Национална стратегия за киберсигурност. Последната такава е с изтекъл срок на актуалност на 31.12.2023 г. Същата е разработена през 2021 г., преди да са приети комплекта документи по киберсигурност, след 2019 г. Предвид съдържащите се в чл. 7, изисквания за минимално необходимото съдържание на Националната стратегия за киберсигурност и поради логиката съпътстваща разработването на регулаторни документи изискваща първоначално да се разработят стратегическите документи и след това регулаторните, предлагам Да се разработи първо Национална стратегия за киберсигурност на Република България, а след това да се разработи ЗИД на ЗКС. Това ще даде възможност посочените в стратегията въпроси по киберсигурността и релевантни на структурата на закон да бъдат взети предвид.“
Не мога да не отбележа, че предложението на b.bozhanov за премахване на текстове от Закона за защита на класифицираната информация, не е прието:
„Предлагам въвеждане на нов параграф в преходните и заключителни разпоредби, с който да бъде изменен Закона за защита на класифицирана информация, по отношение на Приложение 1, част II, като предлагам т. 14 да бъде отменена.
За постигане на високо ниво на киберсигурност, добрите практики изискват адекватна документация на процесите и практиките, конфигурациите, автоматизиране на дейностите. В допълнение, закупуването на решения (хардуерни и софтуерни) за киберсигурност следва да бъде максимално прозрачно и конкурентно.
Предложената за отмяна т. 14 съдържа пречки за ефективносто изпълнение на дейности, свързани с киберсигурността, поради особения режим на работа с класифицирана информация.
Сигурността на информационните системи се базира не на прикриването на информация, а на нейната навременна достъпност за експертните лица, поради което нейното класифициране следва да отпадне.
Алтернативно, може да бъде стеснен обхвата на информацията по т. 14, конкретно до информация за защита на криптографски ключове.“
Аргументът за отхвърлянето е, че „В ПЗР на ЗИД на ЗКС не е релевантно, без обсъждане и координиране на процеса по изменението с отговорните органи в конкретната сфера а именно Държавна комисия по сигурността на информацията (ДКСИ) да се правят изменения, които са в тяхната компетентност“.
Накрая, предлагам всички заинтересове да разгледат рубриката NIS2 на Центъра за киберсигурност на Белгия (CCB), за да видят как се комуникира транспониране на директива.
За общественото обсъждане писах на 17.07.2024 г. 3 август наближава, да не изпуснете срока да коментирате промените в Закона за киберсигурност