Статус: Действаща
Мерки за управление на риска в областта на киберсигурността (Загл. изм. – ДВ, бр. 17 от 2026 г.)
Чл. 22 . (Изм. – ДВ, бр. 17 от 2026 г.) (1) Съществените и важните субекти предприемат подходящи и пропорционални технически, оперативни и организационни мерки за управление на рисковете за сигурността на мрежовите и информационните системи в основната си дейност или при предоставяне на своите услуги. При спазване на принципа за технологична неутралност и като се вземат предвид последните постижения в тази област и, когато е приложимо, съответните европейски и международни стандарти, както и разходите за прилагането им, чрез мерките за управление на риска се гарантира ниво на сигурност на мрежовите и информационните системи, съответстващо на риска. При оценката на пропорционалността на тези мерки надлежно се вземат предвид степента на излагане на рискове на субекта, размерът на субекта и вероятността от възникване на инциденти, както и тяхната значимост, включително тяхното обществено и икономическо въздействие.
(2) Мерките по ал. 1 се основават на подход, обхващащ всички опасности, които имат за цел да защитят мрежовите и информационните системи и физическата среда на тези системи от инциденти, и включват следното:
1. политики за анализ на риска и сигурност на информационните системи;
2. действия при инцидент;
3. непрекъснатост на стопанската дейност, като управление на съхраняването на резервни копия на данните и възстановяване след бедствия, и управление на кризи;
4. сигурност на веригата за доставка, включително свързани със сигурността аспекти относно взаимовръзките между всеки субект и неговите преки снабдители или доставчици на услуги;
5. сигурност при придобиването на мрежови и информационни системи, разработване и поддръжка, включително предприемане на действия при уязвимости и оповестяването им;
6. политики и процедури за оценяване на ефективността на мерките за управление на риска в областта на киберсигурността;
7. основни киберхигиенни практики и обучение в областта на киберсигурността;
8. политики и процедури относно използването на криптография и, когато е целесъобразно, криптиране;
9. сигурност на човешките ресурси, политики за контрол на достъпа и управление на активи;
10. използване на многофакторни решения за удостоверяване на автентичността или непрекъснато удостоверяване на автентичността, защитени гласови, видео- и текстови съобщения и защитени системи за спешна комуникация в рамките на субекта, когато е целесъобразно;
11. управление на измененията на информационните активи;
12. мерки за управление на риска в областта на киберсигурността и задължения за докладване за субекти от вида, посочен в приложение I или II , както и за субекти, установени като критични съгласно Директива (ЕС) 2022/2557 .
(3) При разглеждане на въпросите кои мерки по ал. 2, т. 4 са подходящи, от субектите се изисква да вземат предвид уязвимостите, специфични за всеки пряк снабдител или доставчик на услуги, както и цялостното качество на продуктите и практиките в областта на киберсигурността на своите снабдители и доставчици на услуги, включително техните процедури за сигурно разработване. При определяне кои мерки от посочените в ал. 2, т. 4 са подходящи, от субектите се изисква да вземат предвид резултатите от координираните оценки на риска за сигурността на критичните вериги на доставка, извършени в съответствие с чл. 23 .
(4) При установен пропуск в спазването на мерките, предвидени в ал. 2, субектите предприемат всички необходими, подходящи и пропорционални коригиращи мерки за отстраняването му.
Цитирана от
История на разпоредбата
- Изменена — ДВ, бр. 17 от 2026 г. (предстои добавяне)
- Консолидирана редакция към 13.07.2026