Изисква ли се извършването на редовни одити на киберсигурността за съществените субекти?

Бърз отговор

Да, Законът за киберсигурност предвижда извършването на одити за съществените субекти. Контролните органи имат пълното право да провеждат редовни и целеви одити на сигурността, както и да изискват от компаниите доказателства за изпълнение на техните политики чрез предоставяне на резултати от независими външни одити.
Проверено от Екипът на ПравниОтговори
Източници:

Детайли по темата

Задължителни проверки и одити

Статутът на “съществен субект” носи не само високи отговорности за защита, но и поставя компанията под стриктен държавен контрол, който не позволява формално отношение към мерките за сигурност.

Съгласно чл. 27ж, ал. 1, т. 2 и т. 3 от Закона за киберсигурност, надзорните органи имат изричното правомощие да извършват редовни и целеви одити на сигурността. Тези одити могат да бъдат извършвани директно от компетентния държавен орган или от специално назначен независим орган. Освен това, при настъпване на значителен инцидент или при установено нарушение на закона, органите имат право да разпоредят и извънпланови одити.

Изискване на доказателства от бизнеса

Държавата очаква от бизнеса да може документално и технически да докаже реалното приложение на мерките.

Според чл. 27ж, ал. 1, т. 7 от Закона за киберсигурност, органите имат право да изискват доказателства за ефективното изпълнение на политиките в областта на киберсигурността. Законът изрично посочва, че такива доказателства включват предоставянето на резултатите от одитите на сигурността, които фирмата е организирала вътрешно чрез квалифициран външен одитор. Разходите за целевите одити, разпоредени от държавата и извършени от независим орган, се заплащат от самата одитирана фирма, освен при надлежно обосновани изключения (чл. 27ж, ал. 3 от Закона за киберсигурност).

Проверено от Екипът на ПравниОтговори

Проектът се реализира с подкрепата на Адвокат Стела Дойкова. Научете повече за нас.