Има ли специални изисквания за киберсигурност по веригата на доставки на ИКТ продукти?

Бърз отговор

Да, Законът за киберсигурност въвежда изрични изисквания за сигурността по веригата на доставки. Всяка регулирана компания е длъжна да контролира сигурността не само на собствените си системи, но и на ИКТ продуктите и услугите, предоставяни от нейните подизпълнители и преки снабдители.
Проверено от Екипът на ПравниОтговори
Източници:

Детайли по темата

Уязвимости чрез външни доставчици

Често хакерите пробиват защитата на голяма корпорация не чрез директна атака, а през по-слабо защитените системи на нейните подизпълнители или софтуерни доставчици.

За да се предотврати това, чл. 22, ал. 2, т. 4 от Закона за киберсигурност задължава съществените и важните субекти да включат в мерките си за управление на риска специална “сигурност на веригата за доставка”. Това изрично обхваща аспектите на сигурността относно взаимовръзките между субекта и неговите преки снабдители или доставчици на ИКТ услуги и продукти.

Координирана оценка на риска в ЕС

Законът предвижда и проактивна държавна и европейска намеса при високорискови технологии по веригата.

Съгласно чл. 26, ал. 1 от Закона за киберсигурност, министърът на електронното управление може да предложи на ниво ЕС да бъде извършена координирана оценка на риска за сигурността на конкретни критични ИКТ услуги или продукти по веригата за доставки (съгласно Директива (ЕС) 2022/2557). На база на резултатите от тези оценки, Министерският съвет може да приеме постановление, с което директно да ограничи използването на конкретни рискови технологии или вериги на доставка от страна на бизнеса в България (чл. 27, ал. 1 от Закона за киберсигурност).

Проверено от Екипът на ПравниОтговори

Проектът се реализира с подкрепата на Адвокат Стела Дойкова. Научете повече за нас.