Парламентът прие на второ четене промени в Закона за киберсигурност в съответствие с европейската директива NIS 2.
Новата правна рамка има за цел значително да повиши нивото на киберустойчивост в публичния и частния сектор. Тя разширява кръга на организациите, задължени да прилагат мерки за киберсигурност, и въвежда по-строги изисквания за управление на риска и докладване на киберинциденти.
Директивата NIS 2 на Европейски съюз повишава стандартите за киберсигурност и обхваща 18 сектора, както и компании с над 50 служители или с годишен оборот над 10 млн. евро. Тя надхвърля рамката на формалното правно съответствие и поставя силен акцент върху технологичните и организационните мерки. В обхвата ѝ вече попадат и нови сектори като космическото пространство, управлението на отпадъчни води, ИКТ услуги, както и редица критични дейности – пощенски и куриерски услуги, управление на отпадъци, производство и дистрибуция на химикали и храни, както и производството на медицински изделия, компютри, електронни и оптични продукти, машини, оборудване и моторни превозни средства. Засегнати са още доставчиците на цифрови услуги и научноизследователските организации.
Ключов елемент на NIS 2 е въвеждането на лична отговорност на ръководството за изграждането на киберустойчива организация. Директивата изисква подход към киберсигурността, основан на риска, което означава систематично идентифициране, оценка и управление на киберзаплахите. Киберсигурността вече не се разглежда единствено като задача на ИТ отделите, а като стратегически въпрос за бизнеса, което налага и задължително обучение на ръководните екипи относно киберрисковете и тяхното въздействие върху дейността на организациите.
Сред основните задължителни мерки, предвидени в NIS 2, са управлението на киберриска и инцидентите, осигуряването на бизнес непрекъснатост, сигурността на доставчиците и разработките, редовното тестване на защитите, обучението на персонала, използването на криптографски механизми, строгият контрол на достъпа и въвеждането на многофакторна автентикация за критични системи.
С приетите промени България адаптира националното си законодателство към европейските стандарти, като регламентира ролите и отговорностите на компетентните органи, механизмите за координация и задълженията на организациите, попадащи в обхвата на новите изисквания.