На 20.11.2025 г. се състоя среща в МЕУ с участието на министър Валентин Мундров и представители на БРАИТ, чийто колективен член е БАИТ, относно централизираната национална система за киберсигурност.
По време на срещата основен фокус беше проектът на МЕУ за централизирано предоставяне на услуги от Националния оперативен център за киберсигурност на над 50 държавни организации. Този център представлява надграждане на съществуващия Център за наблюдение на киберсигурност към „Информационно обслужване“ АД и цели единна защита на държавната администрация чрез ранно откриване на заплахи, превенция и реагиране. Проектът се реализира с техническата подкрепа на американската агенция USTDA и финансиране от над 161 млн. лв. от оперативни програми на ЕС.
Министър Мундров подчерта, че инициативата е само част от по-широките усилия на МЕУ за централизация на процесите по цифровизация и цифрова трансформация в администрацията. Предвид многобройните и важни теми за представителите на БРАИТ (Българска работодателска асоциация иновативни технологии) страните се ангажират в конструктивен диалог.
По време на срещата бяха дискутирани редица въпроси. Обсъдено беше дали съществуващата правна рамка позволява на МЕУ да предоставя задължителни централизирани услуги за киберсигурност на другите административни органи, в това число кой и по какъв ред ще се поеме правна отговорност при инциденти след прехвърляне на техническите задачи към МЕУ и „Информационно обслужване“ АД. Министър Мундров увери, че административните органи имат оперативна и правна самостоятелност да надграждат централизираните решения след консултация и одобрение от МЕУ. Той декларира, че чрез провежданите от МЕУ обществени поръчки решенията ще се осигуряват при добри ценови условия, с акцент върху качество и ефективност, за да покрият основните нужди на всички административни органи. Въпреки това остават неясни критериите за надграждане на централизираните услуги, особено предвид че нуждите и нивото на текуща подготвеност на отделните административни органи се различават в значителна степен.
Засегнат беше и опитът на други европейски държави с частни и секторни екипи за реакция при инциденти (CSIRT), които да подпомагат държавните центрове (като CERT и CYBERIX). Представителите на МЕУ не възразиха принципно, но не поеха конкретни ангажименти. От страна на МЕУ беше изразена увереност, че заедно с „Информационно обслужване“ АД ще могат самостоятелно да осигурят пълното покритие на нуждите от киберсигурност за цялата администрация. На база на своя опит и отчитайки изискванията на Директива 2022/2555 (МИС 2) и Агенцията за киберсигурност на ЕС (ENISA), представителите на БАИТ изразиха аргументи и притеснения относно практическата целесъобразност и ефективност на общоприложими базови решения за различните административни органи, който подход потенциално може да ги остави уязвими. Министърът отговори, че ще се разчита на сътрудничество с частния сектор, но механизмът за това остава неуточнен.
На този етап се обърна внимание само на две от потенциалните противоречия с Директива МИС2, която предстои да се транспонира напълно в Закона за киберсигурност.
Остават неразрешени въпроси относно съвместимостта на проекта с Директива МИС2, особено задължителното възлагане на функциите по киберсигурност (ранно откриване, защита и реагиране) към МЕУ и „Информационно обслужване“ АД без оценка на алтернативни решения. Директива МИС2 установява принципа на „отговорния съществен или важен субект“ (т.е. всеки самостоятелен административен орган, попадащ в обхвата на Директива МИС2), според който ръководителите на тези административни органи ще носят пълна юридическа отговорност при инциденти. С оглед на това предстои да бъде изяснен въпросът кой и как би носил тази отговорност, ако се прилага централизирано решение, върху което отделните административни органи нямат самостоятелен контрол или надзор.
Допълнителен проблем е как би било изпълнило изискването на чл. 21, ал. 2 от Директива МИС2, съгласно който мерките за киберсигурност следва да се определят след индивидуална оценка на риска за всеки субект. Еднотипен централизиран пакет може да игнорира специфичните рискове на отделните административни органи.
Стремежът и на екипа на министър Мундров и БРАИТ е постепенно всички тези проблеми да бъдат разрешени и да продължи сътрудничеството между бизнеса и МЕУ, за да се гарантира, че най-добрите практики за осигуряване на киберсигурността в държавата и в държавната администрация, в частност, ще се реализират без противоречие с принципите на свободна конкуренция, подпомагайки развитието на експертния потенциал в държавата, включително и в частните организации, и в унисон с националното и европейското право.
Следващата среща е насрочена за 9 декември 2025 г. с фокус върху конкретни проблеми и търсене на практически решения.
