ДАНС ще бъде създаден център за мониторинг и реакция на инциденти, свързани с киберсигурността. Подобно звено ще има и в ГДБОП, но то ще е по-скоро за подпомагането на разследвания чрез изготвяне на дигитални експертизи на веществени доказателства. Ще има Съвет киберсигурността към Министерски съвет, определен от премиера национален координатор и НЕРИКС - Национален екип за реакция при инциденти в компютърната сигурност (НЕРИКС).
Това предвижда проекта на изцяло нов закон за киберсигурността, публикуван за обществено обсъждане. Вносител е вицепремиерът Томислав Дончев, като в него са разписани задължения и на министерството на отбраната, които съвместно с МВР, ДАНС и Държавната агенция "Електронно управление" ще са основните институции, ангажирани по кибер отбраната на страната. Четирите ведомства трябва да разработят допълнително изисквания и да контролират "планирането и реализирането на мероприятията по подготовка на кибер отбраната и кибер устойчивостта на страната в извънредно положение, военно положение или положение на война от държавните и местните административни органи и стратегическите обекти от значение за националната сигурност".
Недостатъчна защита
От мотивите на проекта се разбира, че с него България изпълнява ангажимента си като член на Европейския съюз да въведе Директива (ЕС) 2016/1148 на Европейския парламент и на Съвета от 6 юли 2016 година относно мерки за високо общо ниво на сигурност на мрежите и информационните системи в съюза.
Документът "е първото всеобхватно законодателство в областта на мрежовата и информационна сигурност на ниво ЕС", който трябва да реши проблема с недостатъчното равнище на защита срещу инциденти, рискове и заплахи в областта на мрежовата и информационната сигурност в Европа, което възпрепятства правилното функциониране на вътрешния пазар", става известно още от мотивите. В тях приемането на подобни мерки и у нас е обосновано на първо място с факта, че няма съществуващ единен принцип на взаимодействие при кибер инциденти и инциденти в мрежовата и информационната сигурност.
"Като се има предвид, че мрежите и информационните системи са взаимосвързани и предвид глобалния характер на интернет, много инциденти в областта на мрежовата и информационна сигурност надхвърлят националните граници и подкопават функционирането на вътрешния европейски пазар. Ефектите от инцидент, произхождащ от определена страна, ако не е подходящо ограничен, могат бързо да се разпространят в други страни", пише още в мотивите. В тях се уточнява, че съществуващата у нас нормативна рамка е ограничена, само до косвено отразяване на понятията, разпокъсаност, на ниво закон има частично регламентиране за отделни субекти, които не са ясно разграничени и определени.
От закона се разбира, че се създават много нови органи и звена, като разграничението на функциите между някои тях не е пълно изяснен. В доклада си Дончев посочва, че дейностите, предвидени в законопроекта ще бъдат осъществени "в рамките на бюджетите за съответната календарна година на засегнатите държавни институции, поради което проектът на акт няма да доведе до необходимост от допълнителни финансови и други средства, нужни за прилагането на новата уредба".
НЕРИКС, ЕРИКС, координатор и центрове
Управлението и организацията на системата за кибер сигурност да се осъществява от Министерски съвет (МС), който за целта ще създаде и управлява Съвет по кибер сигурност, а министър-председателя ще назначи и национален координатор. Съветът ще изготви Национална стратегия за кибер сигурност (НСКС) и Национална стратегия за мрежова и информационна сигурност (НСМИС).
Съвет ще е нещатен постоянен консултативен орган, чиито основни задължения ще са да следи тенденциите на кибер заплахите, рисковете, методите за противодействие и развитието необходимия капацитет. Националният координатор ще е секретар на съвета и ще ръководи разработването и актуализирането на Националната стратегия за кибер сигурност, плана за реализирането ѝ, както и ще организира тяхното прилагане и осъществява мониторинг по отношение на изпълнението им.
Освен това националният координатор ще осъществява "непрекъснат мониторинг на кибер картината в държавата", ще организира създаването и развитието на националния кибер ситуационен център и ще осигурява извършването на оперативна оценка на обобщената степен на заплаха на национално ниво.
Към Главна дирекция "Борба с организираната престъпност" ще бъде създаден Център по кибер престъпност за действие на национално ниво. Идеята е той да подпомага разследващите органи, да изготвя дигитални експертизи на веществени доказателства.
Към това звено ще има и екип за реакция на компютърни инциденти. В законопроекта е изрично записано, че за да просъществува този центъра трябва "да разполага с изискуемите за целта технически, финансови и човешки ресурси, за да се гарантира състояние за ефективно изпълнение на възложените задачи, с което ефикасно да се постига целта".
Център, но за мониторинг и реакция на инциденти, които са със "значително увреждащо въздействие върху мрежовата и информационна сигурност на стратегическите обекти и дейности, от значение за националната сигурност и класифицираните мрежи", ще бъде създаден и в ДАНС. Той ще изпълнява "реактивни и проактивни дейности", като наблюдение на инциденти, ще подава ранни предупреждения, сигнали за тревога, съобщения и разпространяване на информация за инциденти и рискове сред стратегическите обекти и дейности, от значение за националната сигурност.
Записано е още сред задълженията на центъра и "реакция на инциденти". Освен това звеното ще трябва да осигурява динамичен анализ на рисковете и инцидентите, и информация за текущата ситуация.
Председателят на Държавна агенция "Електронно управление" ще има задължението да създаде Национално единно звено за контакт (НЕЗК), което ще отговоря за координацията по въпросите, свързани с мрежовата и информационна сигурност, както и за трансграничното сътрудничество.
Министерски съвет ще трябва да определи и кои административни органи ще са национални координационни органи, като към всеки ще бъде създаден ЕРИКС - екип за реакция при инциденти с киберсигурността. Едно от задълженията за тях записано в закона е да изградят отношения на сътрудничество с частния сектор, без да е уточнено какви точно. ЕРИКС ще трябва да изпращат веднъж на три месеца, обобщена статистика за всички инциденти до НЕРИКС - националния екип за реакция при инциденти по киберсигурност, който ще бъде определен от председателя на Държавната агенция "Електронно управление".
За НЕРИКС е записано, че ще "действа като точка за контакт по въпроси, свързани с мрежовата и информационна сигурност на национално ниво и по оперативни въпроси на международно ниво".
Глоби до 500 хиляди лева
Проектозаконът предвижда и глоби и имуществени санкции за неспазването на нормите на закона за физически и юридически лица, които варират от 30 до 500 хиляди лева. На първо място ще бъдат санкционирани от Държавната агенция "Електронно управление" оператори и доставчици на цифрова услуга, които не уведомят или се забавят да уведомят ЕРИКС за всеки инцидент, "който имат значително въздействие върху непрекъснатостта на предоставяните от него съществени услуги, както и когато уведомленията съдържат недостатъчна информация, която не дава възможност на ЕРИКС да определи евентуалното трансгранично въздействие на инцидента".
Когато деянието не съставлява престъпление, се наказва с имуществена санкция или глоба в размер от 30 000 до 150 000 лв. При повторно нарушение наказанието е имуществена санкция или глоба в размер от 150 000 до 300 000 лв.
В проекта е разписано и отговорност за длъжностно лице, което извърши нарушение, да бъде глобено от 50 000лв. до 300 000 лв., освен ако деянието не съставлява престъпление. Ако се установи повторно нарушение наказанието скача до 500 000 лв.
Източник: dnevnik.bg
Коментари
Все още няма коментари!
Коментирай