По-високи глоби за фирми и институции, ако не сигнализират и не вземат мерки срещу кибератаки, предвиждат промени в Закона за киберсигурност, внесени от Министерството на електронното управление.

Общата цел е да се обезпечи правната интеграция на българската киберсигурност с европейската, в т.ч. посредством въвеждането на подобрените европейски изисквания във връзка с оценката на риска например, пише в мотивите към проекта.

Конкретната цел е да се запълнят констатираните празноти и отстранят несъответствията в действащото българско законодателство чрез въвеждането на правила за капацитета за оценка на риска, докладването на инциденти, тестването, повишаването на осведомеността и осъзнатостта на факта, че киберинцидентите и липсата на адекватен отговор могат да застрашат стабилността както на публичните, така и на частните субекти
 
Според промените членовете на управителните органи на съществените и важните субекти са длъжни на всеки две години да преминават през обучение за придобиване на достатъчно познания и умения, което да им позволи да идентифицират рискове и оценяват практикитеза управление на риска в областта на киберсигурността и тяхното въздействие върху услугите, предоставяни от субекта.

Кои са най-големите рискове пред фирмите у нас

Те са длъжни да предлагат и организират обученията и за своите служители. За съществени се считат предприятия, които надхвърлят таваните за средни предприятия, както и доставчици на квалифицирани удостоверителни услуги и регистри на имена на домейни от първо ниво, както и доставчици на DNS услуги, независимо от техния размер. В групата попадат и доставчици на обществени електронни съобщителни мрежи или на обществено достъпни електронни съобщителни услуги.
 
Съществените и важните субекти са длъжни да уведомяват Националният координатор по киберсигурност, секторни екипи за реакция при инциденти в киберсигурността – ЕРИКС за всеки значителен инцидент. Освен това трябва да предприемат подходящи и пропорционални технически, оперативни и организационни мерки за управление на рисковете за сигурността на мрежовите и информационните системи, в основната си дейност или при предоставяне на своите услуги.

istock
istock

Съществените и важните субекти съобщават на получателите на техните услуги, които са потенциално засегнати от значителна киберзаплаха, всички мерки или средства за защита, които тези получатели могат да предприемат. Когато е целесъобразно, субектите уведомяват получателите на техните услуги и за вида на значителна киберзаплаха.

Когато има основания да се смята, че значителният инцидент представлява или е свързан с извършване на престъпление, СЕРИКС уведомява Главна дирекция „Борба с организираната престъпност“ на Министерството на вътрешните работи за значителния
инцидент и им предоставя цялата налична при него информация, пише още в проекта.
 
Съществен субект, който не изпълни тези задължения се наказва с имуществена санкция от 200 000 лева до 2% от общия световен годишен оборот за предходната финансова година на предприятието, към което принадлежи съществения субект, но не по –малко от 20 000 000 лева.

За повече финансови новини и други полезни съвети, относно личните ви финанси, може да ни последвате във Facebook  или Google News Showcase