Чл. 23 ZK-3826122

Written by

in

Статус: Действаща

Свързана съдебна практика:ГПКАПКНПК

Задължения за докладване (Загл. изм. – ДВ, бр. 17 от 2026 г.)

Чл. 23 . (Изм. – ДВ, бр. 17 от 2026 г.) (1) Съществените и важните субекти уведомяват СЕРИКС за всеки значителен инцидент по образец съгласно наредбите по чл. 3 при условията и по реда на ал. 5. Уведомяването не води до повишена отговорност за уведомяващия субект.
(2) Засегнатите субекти уведомяват, когато е подходящо и без ненужно забавяне, получателите на техните услуги за значителни инциденти, които има вероятност неблагоприятно да засегнат предоставянето на тези услуги. При изключителни обстоятелства, когато уведомяването им може да изложи на риск разследването на значителния инцидент, на субектите се разрешава, след получаване на съгласие от страна на съответния национален компетентен орган, да забавят уведомяването на получателите, докато националният компетентен орган счете, че е възможно да уведоми за нарушаването на сигурността на лични данни в съответствие с настоящия член.
(3) В случай че СЕРИКС установи информация за наличие на трансграничен или междусекторен значителен инцидент, СЕРИКС изпраща незабавно информацията на националното единно звено за контакт.
(4) Съществените и важните субекти съобщават на получателите на техните услуги, които са потенциално засегнати от значителна киберзаплаха, всички мерки или средства за защита, които тези получатели могат да предприемат. Когато е целесъобразно, субектите уведомяват получателите на техните услуги и за вида на значителна киберзаплаха.
(5) За целите на уведомяването по ал. 1 засегнатите субекти подават до СЕРИКС:
1. до 24 часа след установяването на значителен инцидент – ранно предупреждение, в което, когато е приложимо, се посочва дали се предполага, че значителният инцидент се дължи на незаконосъобразни или злонамерени действия и дали би могъл да има трансгранично въздействие;
2. до 72 часа след установяването на значителния инцидент – уведомление за инцидент, в което, когато е приложимо, се актуализира информацията по т. 1 и се посочва първоначална оценка на значителния инцидент, включително неговата тежест и въздействие, както и, когато има такава, техническа информация за инцидента; за доставчиците на удостоверителни услуги срокът по изречение първо е 24 часа;
3. по искане на СЕРИКС – междинен док­лад, съдържащ актуализирана информация за инцидента;
4. окончателен доклад не по-късно от един месец след подаването на уведомлението за инцидента по т. 2, включващ:
а) подробно описание на инцидента, включително неговите обхват и въздействие;
б) вида на заплахата или причината, която вероятно е породила инцидента;
в) приложените и текущите мерки за ограничаване на инцидента;
г) когато е приложимо, трансграничното въздействие на инцидента;
5. в случай че до изтичане на срока по т. 4 субектът не се е справил с инцидента, същият представя междинен доклад, съдържащ, доколкото е приложимо, информацията по т. 4 за справянето с инцидента. Субектите представят окончателен доклад в срок до един месец от справянето с инцидента.
(6) След получаването на ранното предупреждение по ал. 5, т. 1 СЕРИКС връща отговор на уведомяващия субект и му предоставя първоначална информация за значителния инцидент и при поискване от субекта предоставя насоки или оперативни съвети за прилагането на възможни мерки за ограничаване или допълнителна техническа подкрепа. Отговорът по изречение първо се изпраща не по-късно от 24 часа, освен ако по обективни причини срокът не може да бъде спазен, в които случаи отговорът се изпраща във възможно най-кратък срок.
(7) Когато има основания да се смята, че значителният инцидент представлява или е свързан с извършване на престъпление, СЕРИКС уведомява Главна дирекция "Борба с организираната престъпност" на Министерството на вътрешните работи за значителния инцидент и й предоставя цялата налична при него информация.
(8) Когато значителният инцидент засяга критична информационна система на стратегически обект или дейност от значение за националната сигурност или има основание да се смята, че значителният инцидент е свързан с намеса на чужда държава или инфраструктура, разположена извън страната, СЕРИКС незабавно уведомява Държавна агенция "Национална сигурност" за значителния инцидент и й предоставя цялата налична при него информация.
(9) Когато значителният инцидент засяга две или повече държави членки, Националното единно звено за контакт информира другите засегнати държави членки и Агенцията на Европейския съюз за киберсигурност (ENISA) за значителния инцидент, като запазват сигурността и търговските интереси на субекта, както и поверителността на предоставената информация в съответствие с приложимото законодателство. Уведомлението включва информация, получена по реда на ал. 5.
(10) С цел предотвратяване на значителен инцидент или справяне с текущ значителен инцидент или когато е в обществен интерес по друга причина, НЕРИКС, след като се консултира със засегнатия субект, може да оповести публично информация за значителния инцидент или да изиска от субекта да направи оповестяването.
(11) По искане на НЕРИКС Националното единно звено за контакт предава уведомленията, получени съгласно ал. 1, на единните звена за контакт на други засегнати държави членки.
(12) Предоставянето на други държави на информация за значителни инциденти, засягащи стратегически обект или дейност от значение за националната сигурност и свързани с намеса на чужда държава или инфраструктура, разположена извън страната, се извършва след съгласуване с Държавна агенция "Национална сигурност".
(13) На всеки три месеца Националното единно звено за контакт представя на Агенцията на Европейския съюз за киберсигурност (ENISA) обобщаващ доклад, включващ анонимизирани и обобщени данни за значителните инциденти, за инцидентите, киберзаплахите и ситуациите, близки до инциденти, за които е изпратено уведомление в съответствие с ал. 1 от настоящия член или доброволно уведомление по реда на чл. 27д .
(14) Националният екип за реагиране при инциденти с компютърната сигурност предоставя на определените за компетентни органи съгласно Директива (ЕС) 2022/2557 информация относно значителните инциденти, инцидентите, киберзаплахите и ситуациите, близки до инциденти, за които е подадено уведомление в съответствие с ал. 1 или доб­роволно уведомление по реда на чл. 27д от субектите, установени като критични съгласно Директива (ЕС) 2022/2557 .

Цитирана от

История на разпоредбата

  • Изменена — ДВ, бр. 17 от 2026 г. (предстои добавяне)
  • Консолидирана редакция към 13.07.2026

Съдържа