Времето за приемането на промените в Закона за киберсигурност, свързани с директивата NIS-2 на ЕС и които ограничават фирмите в избор на софтуер, съвсем намалява, защото срещу страната ни има наказателна процедура на ЕК.

Няма да има и достатъчно хора, които да прилагат по-строгите регулации, сигнализираха фирми и IT бранш по време на дискусия, организирана от "Възраждане".

Дискусията се провежда на фона на висящата от есента на миналата година наказателна процедура на ЕК по приемане на новите европейски правила за киберсигурността, известни като Директивата NIS-2. И докато забавянето на въвеждането на правилата у нас беше и заради политическата нестабилност, с редовния кабинет това не би трябвало да е проблем. През февруари депутатите в 51-вия парламент приеха на първо четене текстовете на директивата, вкарани в Закона за киберсигурност. И дадоха почти месец за предложения между първо и второ четене. В края на този период, оказва се, предложенията за промени са съпроводени с критики и то не само на депутати, а и от бизнеса.

Благовест Кирилов от неправителствената организация "Демократичен център" и бивш заместник-министър на електронното управление алармира за лошо преведени или нарочно лошо преведени текстове, които правят препоръките на директивата задължителни през закона:

"Дали са пропуски, дали замислени грешки е друг въпрос. Тези грешки в превода всъщност правят доста по-затворен законопроекта. Един орган, дали ще е Министерството на електронното управление и самият министър, или структура към него, да казва на бизнеса какъв точно софтуер да ползва - това не би следвало да е така. Дори и в директивата от Европейската комисия е казано какви технологии, които са сертифицирани, да може да се използват, а не какви продукти, което е съществена разлика. Това, което след като бъде приет този законопроект, трябва да се направи, е да се види какъв е срокът, в който трябва да се приложи, защото част от сроковете, които бяха зададени в проекта на Министерския съвет, те всъщност са изтекли. Трябва да се знае колко време има бизнесът да се подготви за тези неща, как ще се случва. И фирми, които работят и с други компании от Европа, знаят, че започват и проверки на така наречения supply chain. Тоест, все повече ще има въпроси "Вие имате ли законопроект?, Спазвате ли го?, Какво се случва и от ваша страна?"".

И Велина Топалова от "Оракъл - България" посочи, че не е редно държавен орган като Министерството на електронното управление да посочва конкретни продукти. Препоръката за технологиите е допустима, защото отвореният код гарантира прозрачност, каза Топалова.

"Нас това ни притеснява. Това е поредният опит да се насочва в определена посока определени продукти, са се дава предимство на определени продукти пред други. Такава практика в момента има в рамките на Закона за електронно управление, в рамките на процедурата за съгласуване на техническите спецификации, където се дава предимство на технологии с отворен код на база на технологии, които са комерсиални. И то на световно утвърдени производители. Ние смятаме, че технологиита с отворен код имат място, своето заслужено място в развитието на информационните технологии. Изборът да се ползва една или друга технология трябва да бъде на база на целта, за която тя се ползва, и трябва да бъде на базата на свободна конкуренция, а не на базата на изисквания от страна на държавен орган. Ангажименти по отношение на киберсигурността виждаме, че се концентрират в рамките на Министерството на електронното управление. Друг център ще се създава връзка с енергетиката. "Информационно обслужване" става национален оперативен център за киберсигурност в публичната администрация. Някак си всички имат ангажименти и отговорности към киберсигурността, а колкото повече се разводнява това, толкова по-трудно ще постигаме резултати в тази посока".

Кирил Желязков от Асоциацията на индустриалния капитал вярва, че несъвършенствата на текстовете ще бъдат преодолени между двете четения. Но като част от бизнеса, изрази друго притеснение - че има допълнителна административна тежест към фирмите.

"Притеснява ни да не доведете тази промяна в закона до увеличаване на административната тежест и то в областта регулаторна тежест най-вече. Дори тук в мотивите аз чета, че ето - създава се национално единно звено за контакт - ами то има такова звено, защо ще създаваме още една администрация? Тоест не трябва по никакъв начин този законопроект да води до увеличаване на администрацията. Има си национално звено. То работи добре. Най-много да му се увеличи неговата административна пропускливост и компетентност, но не да се изграждат паралелни звена. Желанието на администрациите да купуват още хардуер. По всякакъв начин ние ще опитаме да противодействаме на това, защото вече милиони се сложиха в железа, в хардуер, който остарява. Буквално милиони за next generation fire walls, за не знам какви още лицензи. Системните администратори нямат познанията да използват функционалността на това оборудване. И се иска още, защото се смята, че количественото натрупване ще доведе до качествено".

И тук се стига до третия проблем, който се вижда в новото законодателство - много повече изисквания за пропорционално по-малко хора, които да ги обгрижват. Производството на храни и управление на отпадъците, ВИК сектора, както и цялата верига на доставки, енергетиката са само част от новите сектори, които трябва да спазват новите правила по директивата за киберсигурност. Заместник-кметът по дигитализация на Столична община Иван Гойчев даде пример "от името на общините" как новите изисквания, въпреки че не са насочени към публичния сектор, ще влияят:

"Наистина капацитет няма и е доста страшно и самотно даже. Директивите ясно казват кой е виновен. Ама кой ще осигури бюджета, за да се случат тези неща, за които си говорим? Има нужда наистина от нещо допълнително към закона, което да води останалата част от администрацията, за да знае как да ги изпълни тези директиви и като обучение, и като дори стана въпрос на една предишна среща, на която се засякохме с министъра Йоловски - заплатите на тези хора. Да привлечем хора отвън, които да знаят какво се прави, готови и обучени, за да се случат нещата, които трябва. Защото ако говорим за глоби и ги сложим от едната страна на уравнението, (а от другата сложим - б.ред.) заплатите?! Кое искаме да дадем - да дадем заплати или да дадем глоби? Цената е може би една и съща".

И още въпроси останаха висящи. Спас Иванов от БАЙТ обърна внимание на това, че бизнесът все още не е наясно кой попада в обхвата на директивата и кой – не. Академични организации, които са част от образованието, получават пари от Европейския съюз за научноизследователска дейност, попадат ли вътре, попита той. Според БАЙТ каза, че след като се приеме законодателството в окончателния вид, трябва да има разяснителна кампания.

По време на дискусията много участници отбелязаха, че макар България да има от 2018-а минималните изисквания за киберсигурност, те не се изпълняват. Над 70% от държавните институции не отговарят на минималните изисквания за киберсигурност, приети през 2018 г., посочиха депутатите. Депутатите на "Възраждане" вече казаха, че имат готови предложения между двете четения на промените в Закона за киберсигурност.

Дата за второто четене на промените обаче няма. Дали парламентът ще намери време да прокарат промените и кога ще се случи това – яснота няма.

Но европейското време, определено за прилагане на части от европейската директива, вече тече. И то на фона не само на наказателната процедура, а и на фона на второто напомняне от ЕК, пак с наказателна процедура, че има липса на цялостно въвеждане на правилата за цифрова оперативна устойчивост на финансови субекти, като банки, застрахователни дружества и инвестиционни посредници. Пълното прилагане на европейското законодателство е от ключово значение за укрепване на цифровата оперативна устойчивост на финансовите субекти в ЕС, припомниха от ЕК.

Цялата тема на Добромир Видев в предаването "Хоризонт до обед" чуйте в звуковия файл.

Изгубени в превода

В български условия промените в Закона за киберсигурност, свързани с директивата NIS-2 на ЕС, ограничават фирмите в избор на софтуери

Повече въпроси отколкото отговори след първото четене на Закона