Мнения

Васил Грънчаров, ДАЕУ: Предстои подробен сравнителен анализ във връзка с директивата за МИС

Network World

Кои оператори на основни услуги се очаква да бъдат включени в българския списък по европейската директива за мрежова и информационна сигурност?

Директивата за мрежова и информационна сигурност (Директивата (EС) 2016/1148 на Европейския парламент и на Съвета от 6 юли 2016 г. относно мерки за високо общо ниво на сигурност на мрежите и информационните системи в съюза) е в сила от 26 юли 2016 г., а крайният срок за нейното транспониране в националното законодателство е 9 май 2018 г.

На този етап не може да се каже кои конкретни оператори на основни услуги ще бъдат включени в българския списък. В тази посока всяка държава - членка на ЕС, трябва да извърши редица дейности. Сред тях са оценка кои услуги във всеки подсектор трябва да се считат за основни за поддържането на особено важни обществени и стопански дейности; да бъде доказано, че предоставянето на основната услуга зависи от МИС; да бъде изготвен списък на всички услуги, предоставяни на територията на дадена държава членка, които отговарят на изискванията на настоящата директива, и още много други.

Една от дейностите също така е изготвянето от всяка държава членка на списък на всички оператори на основни услуги или приемането на национални мерки, включително обективни количествени критерии, които да позволяват да се определи за кои субекти се прилагат задълженията. Националните мерки, независимо дали са съществуващи, или се приемат във връзка с директивата, следва да включват всички правни и административни мерки и политики, които позволяват определянето на операторите на основни услуги. Трябва да се направи и преглед и анализ на правните актове на съюза, които са специални за конкретния сектор и които включват правила, свързани със сигурността на мрежите и информационните системи. Крайният срок за приключването на тези дейности е ноември 2018 г.

Към момента е извършен първичен преглед на съществуващата нормативна уредба и нейното съответствие на изискванията на Директивата МИС. Предстои подробен сравнителен анализ.

Какво променя тази директива в отношенията между държавните институции, най-вече в лицето на ДАЕУ и операторите на телекомуникационни услуги? Ще са нужни ли повече инвестиции и/или сътрудничество помежду им за спиране на зловредни атаки?

Изискванията на директивата не се прилагат по отношение на предприятия, които предоставят обществени съобщителни мрежи или обществено достъпни електронни съобщителни услуги по смисъла на Директива 2002/21/ЕО на Европейския парламент и на Съвета (3). Към тях се прилагат специалните изисквания за сигурност и цялост от същата директива (2002/2) и тези изисквания са транспонирани в българската нормативна уредба със Закона за електронните съобщения.

Няма съмнение, че сътрудничеството и доверието между всички заинтересовани страни има значение за постигане на по-висока киберустойчивост. Но това важи по принцип и за всяка добре работеща система.

Кой ще бъде българският екип за реагиране при инциденти с компютърната сигурност (ЕРИКС) (вероятно дирекция МИС в ДАЕУ?)? Каква е разликата с функциите и дейността на екипите за незабавно реагиране при компютърни инциденти (CERT)?

Директивата предвижда изграждането на ЕРИКС за секторите, посочени в отделно приложение на директивата. В момента в България има един ЕРИКС, акредитиран от специализирана международна организация за осъществяване на своята дейност. И това е екипът на дирекция „Мрежова и информационна сигурност“ на Държавната агенция „Електронно управление“. Съгласно съществуващата нормативна уредба екипът в дирекцията е със статут на национален екип.

Няма разлика между ЕРИКС и CERT – това е една и съща структура. На български език е Екип за реагиране при инциденти в компютърната сигурност (ЕРИКС), а на английски език е Computer emergency response team (CERT). В англоезичния текст на директивата се използва терминът CSIRT - Computer security incidents response team.

Въпросите зададе Владимир Владков

© Ай Си Ти Медиа ЕООД 1997-2020 съгласно Общи условия за ползване

X