През месец юли 2019 г. влезе в сила новата Наредба за минималните изисквания за мрежова и информационна сигурност, приета с ПМС № 186 от 19.07.2019 г. и е обнародвана в ДВ, бр.59 от 26 Юли 2019 г. С нейното приемане се усъвършенства нормативната база в областта на мрежовата и информационната сигурност, съгласно Закона за киберсигурност.
Наредбата определя принципите и целите на мрежовата и информационната сигурност, поставя изисквания за организационни мерки за защита на мрежите и информационните системи, както и свързаната с тях информация, попадащи в обхвата на Закона за киберсигурност.
Наредбата за минималните изисквания за мрежова и информационна сигурност е приложима за:
• административните органи;
• операторите на съществени услуги по смисъла на Закона за киберсигурност, относно техните мрежи и информационни системи, използвани при предоставянето на съществени услуги;
• доставчиците на цифрови услуги по смисъла на Закона за киберсигурност, относно техните мрежи и информационни системи, използвани при предоставянето на цифрови услуги;
• лицата, осъществяващи публични функции, които не са определени като оператори на съществени услуги по смисъла на Закона за киберсигурност, когато тези лица предоставят административни услуги по електронен път;
• организациите, предоставящи обществени услуги, които не са определени като оператори на съществени услуги или не са доставчици на цифрови услуги по смисъла на Закона за киберсигурност, когато тези организации предоставят административни услуги по електронен път.
В съответствие с чл.3 на Наредбата, всеки ръководител носи отговорност за мрежовата и информационна сигурност, като създава условия и за прилагане на комплексна система от мерки за управление на тази сигурност по смисъла на международен стандарт ISO/IEC 27001.
В края на месец ноември 2019 изтече срокът за привеждане в съответствие с изискванията на Наредбата.
Контрол по изпълнението на изискванията се провежда от националния компетентен орган съгласно чл. 16, ал. 5 от Закона за киберсигурност – Държавна агенция „Електронно управление“. Очаква се годишната програма за проверка на съответствията, относно задълженията на административните органи по отношение на изискванията за сигурност и уведомяване за инциденти, да бъде публикувана на интернет страницата на ДАЕУ.
