Енергетика и киберсигурност

Киберсигурността става все по-важен аспект от ежедневието ни. Затова беше приета и по-съвременно уредба за киберсигурност в ЕС.

От януари 2025 г. в ЕС (страните, които са транспонирали текстовете) следва да се прилага Директива (ЕС) 2022/2555 МИС2 („Директивата“).

В България тази материя е уредена в Закона за киберсигурност. Директивата все още не е транспонирана в Закона за киберсигурност. В края на 2024 г. беше внесен законопроект за изменение и допълнение на Закона за киберсигурност с цел да се транспонира Директивата. Към началото на март 2025 г. ЗИД още се разглежда на първо четене в Народно събрание.

Целта на Директивата е да се постигане високо общо ниво на киберсигурност в ЕС, с оглед подобряване на функционирането на вътрешния пазар.

Директивата въвежда по-строги изисквания за управление на риска и докладване на инциденти и по-строги санкции при неспазване.

В обхвата на Директивата подадат производителите на електроенергия, които отговарят на критериите за средни предприятия и които предоставят своите услуги или извършват дейността си в ЕС.  Съгласно Закона за киберсигурност, в обхвата подадат енергийните предприятия, който осъществяват доставка съгласно Закона за енергетика.

Какво е „енергийно предприятие“ и „доставка“?

Дефиницията е дадена в Закона за енергетика. Енергийно предприятие е лице, което осъществява една или повече от дейностите по производството, преобразуването, преноса, съхранението, разпределението, агрегирането, оптимизация на потреблението, доставката и снабдяването с електрическа, топлинна енергия или природен газ, на основата на издадена лицензия по този закон, или лице, което добива енергийни ресурси въз основа на концесия за добив, или лице, което осъществява дейност по производство на електрическа и/или топлинна енергия и/или извършва съхранение на електрическа енергия, и/или извършва търговия с природен газ, без да е задължено да получи лицензия за осъществяваната от него дейност по този закон, или лице, което осъществява дейност по пренос на нефт и нефтопродукти по тръбопроводи.

Доставка е продажбата, включително препродажбата, на енергия или природен газ на клиенти.

Какво представлява киберсигурността?

Киберсигурност е състояние на обществото и държавата, при което чрез прилагане на комплекс от мерки и действия киберпространството е защитено от заплахи, свързани с неговите независими мрежи и информационна инфраструктура или които могат да нарушат работата им.

Киберсигурността включва мрежова и информационна сигурност, противодействие на киберпрестъпността и киберотбрана. Мрежова и информационна сигурност е способността на мрежите и информационните системи да се противопоставят на определено ниво на въздействия, засягащи отрицателно наличието, истинността, целостта или поверителността на съхранявани, пренасяни или обработвани данни или на свързаните с тях услуги, предлагани от тези мрежи и информационни системи или достъпни чрез тях.

Производителите на електроенергия, които попадат в обхвата на Директивата трябва да предприемат мерки за защита, така че да предотвратят заплахи.

Тези мерки биват технически и организационни за предотвратяване, откриване и реагиране на инциденти, които биха могли да застрашат сигурността и непрекъснатостта на енергийното снабдяване.

Измененията на Закона за киберсигурност предвиждат, че управителните органи трябва да одобрят мерките за управление на риска в областта на киберсигурността.

Членовете на управителните органи са длъжни на всеки две години да преминават през обучение за придобиване на достатъчно познания и умения, което да им позволи да идентифицират рискове и да оценяват практиките за управление на риска в областта на киберсигурността и тяхното въздействие върху услугите, предоставяни от субекта.

Такива обучения трябва да се организират и за служителите на дружеството.

Какви трябва да са мерките?

Предложенията за текстове в ЗИД на Закона за киберсигурност дават принципни насоки какви трябва да бъдат техническите и организационни мерки .

Мерките трябва да са съобразени с последните постижения в сферата на информационната сигурност, когато е приложимо, съответните европейски и международни стандарти, както и разходите за прилагането им.

Част от изброените мерки са:

• политики за анализ на риска и сигурност на информационните системи
• непрекъснатост на стопанската дейност, например управление на съхраняването на резервни копия на данните и възстановяване след бедствия, и управление на кризи
• сигурност на веригата за доставка, включително свързани със сигурността аспекти относно взаимовръзките между всеки субект и неговите преки снабдители или доставчици на услуги
• основни киберхигиенни практики и обучение в областта на киберсигурността
• сигурност на човешките ресурси, политики за контрол на достъпа и управление на активи
• и др.

Изисквания за докладване на инциденти

Всеки инцидент със значително въздействие трябва да бъде съобщен в рамките на 24 часа на компетентния орган, заедно с указание за първоначалните последици. В рамките на 72 часа след това трябва да бъде подаден пълен доклад, включващ оценка на инцидента, неговата тежест и въздействие. Един месец след инцидента трябва да бъде представен окончателен отчет.

Санкции за неспазване на изискванията

Въвеждат се изключително строги санкции при неспазване или нарушаване на новите изисквания.

Имуществената санкция за енергийно предприятие, което не изпълни задълженията въвеждане на мерки или не докладва за инцидент ще е в размер на 50 000 лв. до 2 на сто от общия световен годишен оборот за предходната финансова година на предприятието, към което принадлежи същественият субект, но не по-малко от 20 000 000 лв.

Какво се очаква?

В срок от 8 месеца след приемането на измененията в Закона за киберсигурност, наредбата трябва дас е актуализира спрямо новите законови изисквания.

До влизането в сила на наредбата по се прилагат Правилата за минимални изисквания на сигурност на обществените електронни съобщителни мрежи и услуги и методи за управление на риска за тяхната сигурност на Комисията за регулиране на съобщенията.

Препоръчително е засегнатите субекти да направят задълбочен анализ на моментното си състояние с препоръки за конкретни мерки, които трябва да се въведат, за да може да се демонстрира съответствие с изискванията.

Важна стъпка е и обучението на управителните органи и персонала, което може да е времеотнемащо. Затова е добре да се предприемат своевременни действия по организиране на обучението на лицата.

Настоящата статия служи само за информация и има за цел да обърне внимание върху някои специфични изисквания на законодателство. Настоящото не представлява юридически съвет. За цялостно разбиране на дискутираните по-горе въпроси и преди да предприемете действия в тази връзка, Ви препоръчваме да се консултирате с адвокатите при Адвокатско дружество „Илиева, Вучева & Ко.”.