Държавен вестник, брой 69 от 4.VIII

Предмет

Чл. 1. (1) Този закон урежда дейностите по:

1. организацията, управлението и контрола на киберсигурността, включително дейности и проекти по киберотбрана и по противодействие на киберпрестъпността;

2. предприемане на необходимите мерки за постигане на високо общо ниво на мрежова и информационна сигурност.

(2) С този закон се определят и правомощията и функциите на компетентните органи в областта на киберсигурността.

Киберсигурност. Мрежова и информационна сигурност

Чл. 2. (1) Киберсигурност е състояние на обществото и държавата, при което чрез прилагане на комплекс от мерки и действия киберпространството е защитено от заплахи, свързани с неговите независими мрежи и информационна инфраструктура или които могат да нарушат работата им.

(2) Киберсигурността включва мрежова и информационна сигурност, противодействие на киберпрестъпността и киберотбрана.

(3) Мрежова и информационна сигурност е способността на мрежите и информационните системи да се противопоставят на определено ниво на въздействия, засягащи отрицателно наличието, истинността, целостта или поверителността на съхранявани, пренасяни или обработвани данни или на свързаните с тях услуги, предлагани от тези мрежи и информационни системи или достъпни чрез тях.

Мерки за мрежова и информационна сигурност

Чл. 3. (1) Мерките за мрежова и информационна сигурност са организационни, технологични и технически и се прилагат в съответствие със спецификата на субектите по чл. 4, ал. 1 и пропорционално на заплахите с цел минимизиране на риска от тяхното реализиране.

(2) (Изм. - ДВ, бр. 15 от 2022 г., в сила от 22.02.2022 г.) Минималният обхват на мерките за мрежова и информационна сигурност, както и други препоръчителни мерки, се определят с наредба на Министерския съвет по предложение на министъра на електронното управление. Мерките не може да налагат използването на определен тип технология.

(3) Наредбата по ал. 2 не се прилага за ведомствата и функциите им по чл. 5, т. 2.

(4) Субектите по чл. 4, ал. 1, т. 1 и 2 поддържат система за управление на сигурността на информацията, която включва следните минимални организационни мерки:

1. разпределение на отговорностите за мрежовата и информационната сигурност;

2. прилагане на политика за мрежовата и информационната сигурност;

3. управление на:

а) риска;

б) информационните активи, включително човешките ресурси;

в) инцидентите;

г) достъпите (физически и логически);

д) измененията;

е) непрекъснатостта на дейността и/или услугите (съществени, цифрови);

ж) взаимодействията с трети страни.

Обхват

Чл. 4. (1) С този закон се определят изискванията към:

1. административните органи;

2. операторите на съществени услуги и доставчиците на цифрови услуги - за всеки сектор, подсектор и услуги, посочени в приложения № 1 и 2;

3. лицата, осъществяващи публични функции, които не са определени като оператори на съществени услуги, когато тези лица предоставят административни услуги по електронен път;

4. организациите, предоставящи обществени услуги, които не са определени като оператори на съществени услуги или не са доставчици на цифрови услуги по смисъла на този закон, когато тези организации предоставят административни услуги по електронен път.

(2) Оператор на съществени услуги е публичен или частен субект от посочените в приложение № 1 категории, който отговаря на следните критерии:

1. да предоставя съществена услуга, и

2. предоставянето на тази съществена услуга да зависи от мрежи и информационни системи, и

3. инцидентите в мрежовата и информационната сигурност да имат значително увреждащо въздействие върху предоставянето на тази услуга.

(3) (Изм. - ДВ, бр. 15 от 2022 г., в сила от 22.02.2022 г.) Административните органи по чл. 16, ал. 1 определят операторите на съществени услуги съгласно критериите по ал. 2 и в съответствие с методика, приета от Министерския съвет, и уведомяват министъра на електронното управление за това. Методиката се приема по предложение на министъра на електронното управление.

(4) Когато оператор предоставя съществена услуга в две или повече държави - членки на Европейския съюз, административният орган по чл. 16, ал. 1 провежда консултации със съответните държави преди вземането на решение относно определянето на оператора.

(5) Операторите на съществени услуги спазват изискванията за мрежова и информационна сигурност, предвидени в този закон, само по отношение на предоставяните от тях съществени услуги.

(6) Когато в правен акт на Европейския съюз или в закон, който е специален за конкретен сектор или услуга, посочени в приложения № 1 и 2, се предвижда операторите на съществени услуги или доставчиците на цифрови услуги да гарантират мрежовата и информационната си сигурност или да уведомяват за инциденти, се прилагат тези актове, при условие че техните изисквания са най-малкото равностойни като резултат на задълженията, предвидени в този закон.

Изключения

Чл. 5. Този закон не се прилага:

1. за комуникационните и информационните системи за обработка на класифицирана информация по смисъла на Закона за защита на класифицираната информация;

2. (изм. - ДВ, бр. 69 от 2020 г.) за мрежите и информационните системи на Министерството на отбраната, Министерството на вътрешните работи, Държавна агенция "Национална сигурност", Държавна агенция "Разузнаване", Държавна агенция "Технически операции", Служба "Военно разузнаване" и Националната служба за охрана, които не са свързани с предоставянето на административни услуги по електронен път и обмен на електронни документи между административните органи; изискванията, управлението и контролът на тези мрежи и информационни системи се осъществяват при условия и по ред, определени от съответните ръководители;

3. по отношение на предприятия, предоставящи обществени електронни съобщителни мрежи и/или услуги по смисъла на Закона за електронните съобщения, с изключение на чл. 14, ал. 5, чл. 15, ал. 6 и чл. 19, ал. 3;

4. за доставчици на удостоверителни услуги по смисъла на чл. 3, т. 19 от Регламент (ЕС) № 910/2014 г. на Европейския парламент и на Съвета от 23 юли 2014 г. относно електронната идентификация и удостоверителните услуги при електронни трансакции на вътрешния пазар и за отмяна на Директива 1999/93/ЕО (ОВ, L 257/73 от 28 август 2014 г.);

5. за доставчици на цифрови услуги, които са микро- и малки предприятия по смисъла на чл. 3, ал. 2 и 3 от Закона за малките и средните предприятия.

Регистър

Чл. 6. (1) (Изм. - ДВ, бр. 15 от 2022 г., в сила от 22.02.2022 г.) Министърът на електронното управление създава, води и поддържа регистър на съществените услуги по смисъла на този закон, който съдържа:

1. видове съществени услуги;

2. списък на операторите на съществени услуги и предоставяните от тях услуги;

3. сфера на дейност;

4. брой потребители, разчитащи на услугата, предоставяна от оператора;

5. географски обхват на областта, която може да бъде засегната от даден инцидент.

(2) (Изм. - ДВ, бр. 15 от 2022 г., в сила от 22.02.2022 г.) Списъкът по ал. 1, т. 2 се преразглежда и актуализира на всеки две години от съответните административни органи по чл. 16, ал. 1, за което те уведомяват министъра на електронното управление.

(3) Редът за водене, съхраняване и достъп до регистъра се определя с наредбата по чл. 3, ал. 2.

(4) Регистърът по ал. 1 не е публичен.

Система за киберсигурност

Чл. 7. (1) Системата за киберсигурност е част от системата за защита на националната сигурност.

(2) Управлението и организацията на системата за киберсигурност се осъществяват от Министерския съвет. За подпомагане изпълнението на тези дейности към Министерския съвет се създава Съвет по киберсигурността.

(3) Министерският съвет приема с решение Национална стратегия за киберсигурност, а в случаите по чл. 8, ал. 3 - и Национална стратегия за мрежова и информационна сигурност.

Стратегии

Чл. 8. (1) Националната стратегия за киберсигурност е стратегическа рамка на политиката за киберсигурност, която включва:

1. цели, принципи и приоритети;

2. области на действие и мерки:

а) система за киберсигурност;

б) мрежова и информационна сигурност;

в) противодействие на киберпрестъпността;

г) киберотбрана;

д) киберразузнаване;

3. взаимодействие между държава, бизнес и общество;

4. развитие и подобряване на регулаторната рамка;

5. повишаване на осведомеността, знанията и компетентностите; стимулиране на изследванията и иновациите в областта на киберсигурността;

6. международно взаимодействие;

7. кибердипломация;

8. взаимодействие на техническо, оперативно и стратегическо (политическо) ниво.

(2) Националната стратегия за мрежова и информационна сигурност е стратегическа рамка на политиката за мрежова и информационна сигурност, която включва:

1. цели и приоритети относно мрежовата и информационната сигурност;

2. управленска рамка за постигане на целите и приоритетите по т. 1, включително функциите и отговорностите на държавните органи и на други участници;

3. мерки във връзка с подготвеността, реагирането и възстановяването в мрежите и информационните системи, включително сътрудничеството между публичния и частния сектор;

4. съществена информация за образователните и обучителните програми и програмите за повишаване на осведомеността във връзка с мрежовата и информационната сигурност;

5. посочване на плановете за научноизследователска и развойна дейност относно мрежовата и информационната сигурност;

6. план за оценка на риска с цел набелязване на рисковете;

7. списък на различните участници в изпълнението на стратегията.

(3) Национална стратегия за мрежова и информационната сигурност се изготвя, когато Националната стратегия за киберсигурност не съдържа информацията по ал. 2.

Съвет по киберсигурността

Чл. 9. (1) Съветът по киберсигурността е консултативен и координиращ орган към Министерския съвет по въпросите на киберсигурността.

(2) (Изм. - ДВ, бр. 15 от 2022 г., в сила от 22.02.2022 г.) Председател на Съвета по киберсигурността е министърът на електронното управление.

(3) Членове на Съвета по киберсигурността са:

1. министърът на вътрешните работи;

2. министърът на отбраната;

3. министърът на външните работи;

4. министърът на финансите;

5. (изм. - ДВ, бр. 15 от 2022 г., в сила от 22.02.2022 г.) министърът на транспорта и съобщенията;

6. министърът на енергетиката;

7. министърът на здравеопазването;

8. министърът на околната среда и водите;

8а. (нова - ДВ, бр. 15 от 2022 г., в сила от 22.02.2022 г.) министърът на електронното управление;

9. началникът на отбраната;

10. главният секретар на Министерството на вътрешните работи;

11. председателят на Държавна агенция "Национална сигурност";

12. председателят на Държавна агенция "Разузнаване";

13. (изм. - ДВ, бр. 69 от 2020 г.) директорът на Служба "Военно разузнаване";

14. началникът на Националната служба за охрана;

15. (отм. - ДВ, бр. 15 от 2022 г., в сила от 22.02.2022 г.)

16. секретарят на Съвета по киберсигурността;

17. секретарят на Съвета по сигурността към Министерския съвет;

18. представител на президента на републиката, изрично определен от него с указ.

(4) Президентът на републиката, председателят на Народното събрание и министър-председателят може да участват лично в заседанията на Съвета по киберсигурността.

(5) В определени случаи и по отделни въпроси в работата на Съвета по киберсигурността по покана на неговия председател може да участват председатели на постоянни комисии на Народното събрание, народни представители и ръководители на ведомства и организации.

Дейност на Съвета по киберсигурността

Чл. 10. Съветът по киберсигурността:

1. анализира тенденциите на киберзаплахите, рисковете, методите за противодействие и за развитието на необходимия капацитет, приоритетите за изграждането и развитието на човешки, технологични, инфраструктурни, финансови и организационни компоненти и при необходимост предлага решения и действия по отношение на тях;

2. предлага на Министерския съвет Национална стратегия за киберсигурност и пътната карта към нея, както и изготвя периодичната им актуализация;

3. предоставя информация на Съвета по сигурността към Министерския съвет относно състоянието на сигурността в киберпространството за включване в проекта на годишен доклад за състоянието на националната сигурност по чл. 9, т. 7 от Закона за управление и функциониране на системата за защита на националната сигурност;

4. осъществява взаимодействие с компетентните органи в областта на киберсигурността, включително с националните компетентни органи по чл. 16, с Националното единно звено за контакт, с регулаторни органи и с други институции;

5. дава предложения за хармонизиране и координиране на секторните политики за постигане на високо общо ниво на киберсигурност на икономиката и обществото;

6. предлага на Министерския съвет Национален план за управление на киберкризи;

7. взаимодейства със Съвета по сигурността към Министерския съвет.

Национален координатор по киберсигурността

Чл. 11. (1) Министър-председателят определя национален координатор по киберсигурността, който е и секретар на Съвета по киберсигурността.

(2) Националният координатор по киберсигурността:

1. ръководи изготвянето и актуализирането на Националната стратегия за киберсигурност и пътната карта към нея;

2. участва при изграждането и развитието на Националната координационно-организационна мрежа за киберсигурност и осигуряването на нейната надеждност, сигурност и устойчивост;

3. участва при създаването и развитието на Националния киберситуационен център, координира действията и комплексната реакция при заплаха от киберкриза и заплахи от хибриден характер;

4. предлага на Съвета по киберсигурността:

а) нива за оценка на заплахата от кибератаки и киберинциденти и критерии за определянето им;

б) степени за определяне нивото на готовност за противодействие на кибератаки и киберинциденти - в зависимост от нивото на заплаха;

в) мерките, които да се предприемат при съответните степени на готовност;

5. при необходимост, в състояние на повишена заплаха от кибер- или от хибриден характер, подпомага сформирането на екипи за анализ, реакция и възстановяване с участието на експерти от различни ведомства и организации;

6. съдейства при планирането, подготовката и провеждането на учения в областта на киберсигурността;

7. осигурява взаимодействие и подпомага дейността на секретаря на Съвета по сигурността към Министерския съвет.

Министър на електронното управление (Загл. изм. - ДВ, бр. 15 от 2022 г., в сила от 22.02.2022 г.)

Чл. 12. (Изм. - ДВ, бр. 15 от 2022 г., в сила от 22.02.2022 г.) Министърът на електронното управление:

1. провежда държавната политика в областта на мрежовата и информационната сигурност;

2. изготвя и предлага за приемане от Министерския съвет Национална стратегия за мрежова и информационна сигурност в случаите по чл. 8, ал. 3;

3. издава методически указания и координира изпълнението на политиките за мрежова и информационна сигурност;

4. удостоверява съответствието на внедряваните от административните органи информационни системи с изискванията за мрежова и информационна сигурност и упражнява контрол върху администрациите за спазване на тези изисквания;

5. упражнява контрол за спазване на изискванията за мрежова и информационна сигурност на административните органи, с изключение на ведомствата по чл. 5, т. 2;

6. осъществява проверки чрез оправомощени от него лица на информационната сигурност на определена информационна система или на предприетите от административния орган мерки и дава предписания за тяхното подобряване; в обхвата на проверките не попадат информационни системи на ведомствата по чл. 5, т. 2;

7. разработва методика и правила за извършване на оценка за съответствие с мерките за мрежова и информационна сигурност, определени с наредбата по чл. 3, ал. 2;

8. координира, организира и провежда международни и национални учения и тренировки в областта на мрежовата и информационната сигурност.

Министър на отбраната. Началник на отбраната

Чл. 13. (1) Министърът на отбраната провежда държавната политика за защита и активно противодействие на кибератаки и хибридни въздействия върху системите за управление на отбраната и въоръжените сили. Министърът на отбраната организира подготовката за киберотбрана на системите за управление на страната при положение на война, военно положение и извънредно положение.

(2) Министърът на отбраната:

1. организира изграждането и развиването на способности за киберотбрана за защита на системите за управление на отбраната и въоръжените сили, включително на център за киберотбрана и тяхното ресурсно осигуряване;

2. организира координацията и взаимодействието във връзка с изпълнението на поети ангажименти за колективна отбрана на споделеното киберпространство с Организацията на Северноатлантическия договор (НАТО) и Европейския съюз;

3. (изм. и доп. - ДВ, бр. 15 от 2022 г., в сила от 22.02.2022 г.) съвместно с министъра на вътрешните работи, министъра на електронното управление и председателя на Държавна агенция "Национална сигурност":

а) изготвя допълнителни изисквания по отношение на планирането и осъществяването на мероприятията по подготовка на киберотбраната и киберустойчивостта на страната при обявяване на извънредно положение, военно положение или положение на война и организира осъществяването на контрола за тяхното изпълнение;

б) организира изграждането, развиването и поддържането на потенциал за защита и активно противодействие, адекватно на съвременните предизвикателства и заплахи в киберпространството.

(3) Министърът на отбраната определя с наредба условията и реда за изграждане и поддържане на киберрезерв с цел повишаване на капацитета и способностите за киберотбрана във взаимодействие с научноизследователската и образователната общност и индустрията. Киберрезервът участва в съвместни обучения и тренировки и може да бъде включван при необходимост за решаване на практически задачи, свързани с киберотбраната.

(4) Началникът на отбраната:

1. организира поддържането на способности за киберотбрана за защита на системите за управление на отбраната и въоръжените сили;

2. възлага интегрирането на задачите по киберотбрана като елемент от стратегическото планиране в плановете за изграждане на отбранителни способности и в плановете за операции на въоръжените сили;

3. организира и координира провеждането на международни или национални занятия, тренировки и учения в областта на киберотбраната.

Министър на вътрешните работи

Чл. 14. (1) Министърът на вътрешните работи провежда държавната политика в областта на противодействието на киберпрестъпността.

(2) Органите на Министерството на вътрешните работи:

1. извършват оперативно-издирвателна дейност за противодействие на киберпрестъпността и произтичащите от нея заплахи за националната сигурност и за опазване на обществения ред;

2. поддържат и развиват способности за киберпревенция и защита, реакция, разследване и правоприлагане при компютърни престъпления;

3. усъвършенстват организационната база и способностите на органите за разкриване и разследване на престъпни дейности в киберпространството и осъществяват взаимодействие с всички заинтересовани страни;

4. осъществяват разследване при извършени компютърни престъпления, от които произтичат заплахи за националната сигурност и за опазване на обществения ред;

5. извършват дейности по повишаване на информираността на обществото за съществуващи и нововъзникващи киберзаплахи и свързания с тях риск от престъпни деяния.

(3) В Главна дирекция "Борба с организираната престъпност" на Министерството на вътрешните работи се изгражда:

1. Център по киберпрестъпност, който осъществява дейности по разкриване, разследване и документиране на компютърни престъпления на национално ниво, и

2. екип за реагиране при инциденти с компютърната сигурност за Министерството на вътрешните работи.

(4) В изпълнение на дейностите по ал. 2 и 3 Главна дирекция "Борба с организираната престъпност" на Министерството на вътрешните работи:

1. поддържа готовност за координирана, съвместна реакция с Националния екип за реагиране при инциденти с компютърната сигурност по чл. 19;

2. подпомага разследващите органи чрез изготвяне на дигитални експертни справки на веществени доказателства;

3. разполага с технически, финансови и човешки ресурси за гарантиране ефективното осъществяване на дейностите по ал. 2 и за изграждането на центъра по ал. 3, т. 1.

(5) При уведомяване от Главна дирекция "Борба с организираната престъпност" на Министерството на вътрешните работи предприятията, предоставящи обществени електронни съобщителни мрежи и/или услуги, са длъжни незабавно, когато това е технически възможно, да филтрират или преустановят зловредния интернет трафик - източник на кибератака, към мрежи и информационни системи на субектите по чл. 4, ал. 1.

Държавна агенция "Национална сигурност"

Чл. 15. (1) Държавна агенция "Национална сигурност" изпълнява политиката по защита от киберинциденти в комуникационните и информационните системи на стратегическите обекти и дейности, които са от значение за националната сигурност.

(2) (Изм. - ДВ, бр. 85 от 2020 г., в сила от 02.10.2020 г.) Държавна агенция "Национална сигурност" администрира и ползва Център за мониторинг и реакция на инциденти със значително увреждащо въздействие върху комуникационните и информационните системи на стратегическите обекти и дейности, които са от значение за националната сигурност.

(3) (В сила от 31.12.2023 г.) Центърът по ал. 2 изпълнява следните дейности:

1. мониторинг и събиране на информация за събития и инциденти, свързани със сигурността на комуникационните и информационните системи на стратегическите обекти и дейности, които са от значение за националната сигурност;

2. подаване на предупреждения за киберзаплахи и информация за киберинциденти към стратегическите обекти и дейности, които са от значение за националната сигурност;

3. оказване на методическо съдействие в процеса на управление на киберинциденти;

4. осигуряване на цялостен анализ на постъпващата информация и оценка на информационната защита на стратегическите обекти и дейности, които са от значение за националната сигурност.

(4) (В сила от 31.12.2023 г.) Центърът по ал. 2 поддържа готовност за координирана съвместна реакция в рамките на Националната координационно-организационна мрежа за киберсигурност при настъпването на инциденти, свързани със сигурността на комуникационните и информационните системи на стратегическите обекти и дейности, които са от значение за националната сигурност.

(5) (В сила от 31.12.2023 г.) Центърът по ал. 2 изпълнява и задачи, свързани с функциите на Държавна агенция "Национална сигурност" по чл. 6, ал. 5 от Закона за Държавна агенция "Национална сигурност".

(6) При уведомяване от Държавна агенция "Национална сигурност" ръководителите на стратегически обекти и възлагащите и извършващите стратегически дейности са длъжни незабавно, когато това е технически възможно, да филтрират или преустановят зловредния интернет трафик - източник на кибератака.

(7) (Нова - ДВ, бр. 85 от 2020 г., в сила от 02.10.2020 г., изм. - ДВ, бр. 15 от 2022 г., в сила от 22.02.2022 г.) Центърът по ал. 2 се изгражда и поддържа от Министерството на електронното управление.

Национални компетентни органи

Чл. 16. (1) Министерският съвет определя с решение административните органи, към които се създават национални компетентни органи по мрежова и информационна сигурност за секторите и услугите, посочени в приложения № 1 и 2, когато такива не са създадени със специален закон.

(2) (Изм. - ДВ, бр. 15 от 2022 г., в сила от 22.02.2022 г.) Национален компетентен орган за всички административни органи, както и за лицата и организациите по чл. 4, ал. 1, т. 3 и 4, е Министерството на електронното управление.

(3) Националните компетентни органи:

1. координират и контролират изпълнението на задачите, свързани с мрежовата и информационната сигурност на административните органи, операторите на съществени услуги и доставчиците на цифрови услуги съгласно този закон;

2. (изм. - ДВ, бр. 15 от 2022 г., в сила от 22.02.2022 г.) приемат, след съгласуване с Министерството на електронното управление, насоки относно обстоятелствата, при които субектите по чл. 4, ал. 1 са длъжни да уведомяват за инциденти;

3. оценяват дали административните органи, операторите на съществени услуги и доставчиците на цифрови услуги изпълняват задълженията си по глава втора, както и въздействието на това изпълнение върху мрежовата и информационната сигурност и предприемат съответните мерки при неизпълнение;

4. съвместно с Агенцията на Европейския съюз за мрежова и информационна сигурност (ENISA) изготвят препоръки и насоки по отношение на техническите области, които да се вземат предвид във връзка с използването на европейските или международните стандарти и спецификации от значение за мрежовата и информационната сигурност;

5. със съдействието на Агенцията на Европейския съюз за мрежова и информационна сигурност (ENISA) изготвят препоръки и насоки, свързани с използването на вече съществуващите стандарти, включително националните, с цел еднаквото прилагане на глава втора.

(4) Националните компетентни органи гарантират, че екипите за реагиране при инциденти с компютърната сигурност по чл. 18 и 19 получават уведомления за инциденти по този закон.

(5) Националните компетентни органи имат право да изискват от административните органи и от операторите на съществени услуги:

1. информация, необходима за оценка на мрежовата и информационната им сигурност, включително съществуващи политики за сигурност, резултати от одити на мрежовата и информационната сигурност, когато са извършени от друг квалифициран одитор, и доказателствата, на които те се основават;

2. доказателства за ефективно изпълнение на препоръките от одити на мрежовата и информационната им сигурност.

(6) В искането по ал. 5 националните компетентни органи посочват целта му и уточняват каква информация или доказателства се изискват.

(7) След оценяването на информацията или на доказателствата по ал. 5 съответният национален компетентен орган дава при необходимост задължителни указания за отстраняване на установените пропуски в изпълнението на изискванията, предвидени в глава втора.

(8) За целите на глава втора националните компетентни органи имат право да изискват от доставчиците на цифрови услуги да:

1. предоставят информацията, необходима за оценка на мрежовата и информационната им сигурност, включително съществуващи политики за сигурност;

2. отстранят всеки пропуск в изпълнението на изискванията, предвидени в глава втора.

(9) Когато получи доказателства, че даден доставчик на цифрови услуги не отговаря на изискванията, установени в глава втора, съответният национален компетентен орган предприема действия съгласно правомощията си по ал. 8. Тези доказателства могат да се предоставят от компетентен орган на друга държава - членка на Европейския съюз, в която доставчикът на цифрови услуги предоставя услугата.

(10) Националните компетентни органи имат право да изискват от екипите за реагиране при инциденти с компютърната сигурност по чл. 18 и 19 информация по чл. 17, ал. 4, т. 1 и ал. 7.

(11) Националните компетентни органи оказват съдействие на Националното единно звено за контакт при изпълнение на функциите му по чл. 17, ал. 2, 3, 4 и 7.

(12) Националните компетентни органи си сътрудничат с органите за защита на личните данни при работа по инцидентите, които водят до нарушаване на сигурността на лични данни.

(13) Националните компетентни органи трябва да разполагат с технически, финансови и човешки ресурси, за да гарантират, че са в състояние да изпълняват ефективно възложените им задачи в съответствие с този закон.

Национално единно звено за контакт

Чл. 17. (1) (Изм. - ДВ, бр. 15 от 2022 г., в сила от 22.02.2022 г.) Към Министерството на електронното управление се създава Национално единно звено за контакт.

(2) Националното единно звено за контакт координира въпросите, свързани с мрежовата и информационната сигурност, и въпросите, свързани с трансграничното сътрудничество със съответните органи в други държави - членки на Европейския съюз.

(3) Националното единно звено за контакт предоставя на всеки две години на Европейската комисия информация относно последователността на подходите за определянето на операторите на съществени услуги, която включва:

1. националните мерки, чрез които са определени операторите на съществени услуги;

2. списък на съществените услуги;

3. броя на операторите на съществени услуги, определени за всеки сектор в приложение № 1, и тяхното значение за този сектор;

4. праговете, когато има такива, за определяне на минималното ниво на доставяните услуги спрямо броя ползватели, разчитащи на тях;

5. значението на конкретния оператор на съществени услуги за поддържане на достатъчно ниво на услугата предвид наличието и на други възможности за предоставяне на тази услуга.

(4) Националното единно звено за контакт уведомява Европейската комисия за:

1. обхвата на задачите на екипите за реагиране при инциденти с компютърната сигурност по чл. 18 и 19, както и за съществените елементи от тяхната процедура за предприемане на действия при инциденти, след тяхното създаване или при изменение на статута или процедурите им;

2. приетата Национална стратегия за мрежова и информационна сигурност в тримесечен срок от приемането ѝ.

(5) При трансграничен инцидент Националното единно звено за контакт уведомява националното единно звено за контакт на другата засегната държава - членка на Европейския съюз, когато е постъпило искане по чл. 19, ал. 2, т. 9 от Националния екип за реагиране при инциденти с компютърната сигурност.

(6) В случаите по ал. 5 Националното единно звено за контакт запазва търговските интереси на оператора на съществените услуги или на доставчика на цифрови услуги, както и поверителността на информацията, съдържаща се в уведомленията им, в съответствие с българското законодателство и с правото на Европейския съюз.

(7) Националното единно звено за контакт представя веднъж годишно обобщен доклад до Групата за сътрудничество относно получените уведомления по чл. 21, ал. 3, чл. 22, ал. 2, чл. 23, ал. 2 и чл. 25, ал. 3, естеството на инцидентите и действията, предприети за разрешаването им.

(8) Националното единно звено за контакт има право да изисква от националните компетентни органи информацията по ал. 3 и ал. 4, т. 1, а от Националния екип за реагиране при инциденти с компютърната сигурност - информацията по ал. 7.

(9) В случай на необходимост националните компетентни органи и Националното единно звено за контакт осъществяват сътрудничество със съответните правоприлагащи органи и с Комисията за защита на личните данни.

Секторни екипи за реагиране при инциденти с компютърната сигурност

Чл. 18. (1) (Изм. - ДВ, бр. 15 от 2022 г., в сила от 22.02.2022 г.) Административните органи по чл. 16, ал. 1, включително Министерството на електронното управление, създават секторни екипи за реагиране при инциденти с компютърната сигурност. Екипите се създават към националните компетентни органи в съответствие с методическите указания на Агенцията на Европейския съюз за мрежова и информационна сигурност (ENISA).

(2) Секторните екипи осъществяват дейността си в съответствие с процедури, утвърдени от ръководителя на ведомството, към което са създадени, и отговарят на следните изисквания:

1. да разполагат с комуникационни канали с висока надеждност, които да осигуряват възможност да бъдат търсени във всеки момент и да бъдат ясно посочени и добре известни на субектите по чл. 4, ал. 1 и на партньорите;

2. секторните екипи и информационните системи, поддържащи тяхната дейност, да са разположени в защитени зони;

3. да осигуряват непрекъснатост на дейността си чрез:

а) подходяща система за управление и разпределяне на заявките;

б) достатъчен персонал, който да е постоянно на разположение;

в) инфраструктура с гарантирана непрекъснатост на дейността, осигурена от резервни системи и резервно работно помещение;

4. изпълнението на реактивни, проактивни дейности и дейности по управление на качеството на сигурността да е в съответствие с регламентиращите и препоръчителните документи на Европейския съюз, с указанията на Агенцията на Европейския съюз за мрежова и информационна сигурност (ENISA) и с българското законодателство.

(3) Секторните екипи за реагиране при инциденти с компютърната сигурност разполагат с ресурси за ефективно изпълнение на задачите си, които включват най-малко следното:

1. наблюдение на инциденти на национално равнище;

2. подаване на ранни предупреждения, сигнали за тревога, съобщения и разпространяване на информация за инциденти и рискове сред съответните субекти;

3. реакция при инциденти и оказване на методологическа помощ при разрешаване на инциденти - при поискване;

4. осигуряване на динамичен анализ на рисковете и инцидентите и информация за текущата ситуация.

(4) Секторните екипи за реагиране при инциденти с компютърната сигурност осъществяват сътрудничество с частния сектор и с академичните среди.

(5) С цел улесняване на сътрудничеството секторните екипи за реагиране при инциденти с компютърната сигурност насърчават възприемането и използването на общи практики за стандартизация за:

1. процедури за предприемане на действия при инциденти и рискове;

2. схеми за класификация на инциденти, рискове и информация.

(6) Секторните екипи за реагиране при инциденти с компютърната сигурност си сътрудничат в Национална мрежа на екипите за реагиране при инциденти с компютърната сигурност, която се изгражда от секторните екипи и от Националния екип по чл. 19.

(7) Секторните екипи за реагиране при инциденти с компютърната сигурност информират незабавно Националния екип за реагиране при инциденти с компютърната сигурност за уведомленията за инциденти със значително увреждащо въздействие, за инциденти със съществено въздействие и за трансгранични инциденти, подадени съгласно този закон.

(8) Секторните екипи за реагиране при инциденти с компютърната сигурност изпращат веднъж на три месеца обобщена статистическа информация до Националния екип за реагиране при инциденти с компютърната сигурност относно всички регистрирани от тях инциденти в мрежовата и информационната сигурност.

(9) Секторните екипи за реагиране при инциденти с компютърната сигурност, обхващащи стратегически обекти и дейности, които са от значение за националната сигурност:

1. изграждат комуникационна свързаност с центъра по чл. 15, ал. 2, която се използва за подпомагане изпълнението на дейностите по чл. 15;

2. (В сила от 31.12.2023 г.) уведомяват незабавно центъра по чл. 15, ал. 2 за настъпилите инциденти.

(10) (В сила от 31.12.2023 г.) В случаите по ал. 9, т. 2 последващите действия на субектите по чл. 4, ал. 1 се координират с центъра по чл. 15, ал. 2 и със съответния секторен екип за реагиране при инциденти с компютърната сигурност.

Национален екип за реагиране при инциденти с компютърната сигурност

Чл. 19. (1) (Изм. - ДВ, бр. 15 от 2022 г., в сила от 22.02.2022 г.) Към Министерството на електронното управление се създава Национален екип за реагиране при инциденти с компютърната сигурност, който отговаря на изискванията на чл. 18, ал. 2.

(2) Националният екип за реагиране при инциденти с компютърната сигурност:

1. действа като звено за контакт по въпроси, свързани с мрежовата и информационната сигурност на национално ниво и по оперативни въпроси на международно ниво;

2. подпомага дейностите по създаването на секторните екипи за реагиране при инциденти с компютърната сигурност;

3. участва в изграждането и дейностите на Националната мрежа на екипите за реагиране при инциденти с компютърната сигурност;

4. обобщава и анализира предоставената информация от секторните екипи за реагиране при инциденти с компютърната сигурност и изготвя доклади в случай на необходимост;

5. предоставя съвети и препоръки на органите на държавната власт, органите на местното самоуправление и юридическите лица, създадени със специален закон, по важни въпроси, свързани с мрежовата и информационната сигурност;

6. оказва експертна подкрепа на административните органи и на други юридически лица при изграждане, внедряване и поддържане в актуално състояние на системи за управление на информационната сигурност съгласно националните и международните стандарти в тази област;

7. участва в разработването и тестването на национални и по линия на Европейския съюз и НАТО стандартни оперативни процедури;

8. при възникване на инциденти в мрежовата и информационната сигурност дава препоръчителни указания на административните органи, на националните компетентни органи и на секторните екипи за реагиране при инциденти с компютърната сигурност;

9. информира незабавно Националното единно звено за контакт за уведомленията за трансгранични инциденти със значително увреждащо въздействие и за трансгранични инциденти със съществено въздействие, подадени съгласно този закон, и в случай на необходимост иска съдействие от Националното единно звено за контакт за тяхното разрешаване;

10. участва в международни мрежи за сътрудничество.

(3) Предприятията, предоставящи обществени електронни съобщителни мрежи и/или услуги, оказват съдействие на Националния екип за реагиране при инциденти с компютърната сигурност за отстраняване на установени от него киберинциденти в техните мрежи и/или услуги.

Сътрудничество и координация

Чл. 20. (1) Координацията и ръководството на стратегическо ниво се осъществява от Съвета по киберсигурността във взаимодействие със Съвета по сигурността към Министерския съвет. Националният координатор по киберсигурността осигурява връзката между стратегическото ръководство и системата за координация на оперативно ниво.

(2) (Изм. - ДВ, бр. 15 от 2022 г., в сила от 22.02.2022 г.) Министерството на електронното управление координира дейностите по изграждане на Националната координационно-организационна мрежа за киберсигурност и на Националния киберситуационен център в сътрудничество с Държавна агенция "Национална сигурност", Министерството на вътрешните работи и Министерството на отбраната.

(3) За координация и обмен на информация при възникване на инцидент или при извършване на компютърно престъпление на междуведомствено ниво се създават звена за контакт с цел осведоменост на компетентните по случая институции и изготвянето на общ отговор. Процедурите и правилата за това сътрудничество се определят със споразумение за взаимодействие между заинтересованите ведомства.

(4) (Изм. - ДВ, бр. 15 от 2022 г., в сила от 22.02.2022 г.) За координиране на дейностите за реакция при кибератаки и мащабни инциденти министърът на електронното управление може да създава междуведомствени оперативни групи с участието на ведомства, организации и институции, включително от частния сектор, имащи отношение към тези дейности.

(5) Сътрудничеството на международно ниво се осъществява чрез Групата за сътрудничество, а координацията и сътрудничеството между екипите за реагиране при инциденти с компютърната сигурност - в Мрежата на националните екипи за реагиране при инциденти с компютърната сигурност.

Задължения на административните органи по отношение на изискванията за сигурност и уведомяване за инциденти

Чл. 21. (1) Административните органи осигуряват и отговарят за сигурността на използваните от тях мрежи и информационни системи.

(2) Административните органи предприемат:

1. подходящи и пропорционални мерки, които трябва да осигуряват ниво на мрежова и информационна сигурност, съответстващо на съществуващия риск;

2. подходящи мерки за предотвратяване и намаляване до минимум на въздействието на инцидентите, засягащи мрежовата и информационната им сигурност, с цел осигуряване на непрекъснатост на дейността им;

3. мерките, определени с наредбата по чл. 3, ал. 2.

(3) Административните органи уведомяват секторния екип за реагиране при инциденти с компютърната сигурност за инцидентите, които имат въздействие върху непрекъснатостта на тяхната дейност.

(4) Първоначално уведомяване се прави до два часа след констатирането на инцидента. Уведомленията се подават по образец съгласно наредбата по чл. 3, ал. 2 и съдържат информация, която дава възможност на секторния екип да определи евентуалното трансгранично въздействие на инцидента.

(5) В срок до 5 работни дни административният орган предоставя на секторния екип пълната информация за инцидента, определена с наредбата по чл. 3, ал. 2.

(6) При наличие на обосновано предположение, че докладваният инцидент може да се класифицира като компютърно престъпление, секторният екип уведомява Главна дирекция "Борба с организираната престъпност" на Министерството на вътрешните работи.

(7) Секторният екип запазва поверителността на информацията, съдържаща се в уведомленията.

Задължения на лицата, осъществяващи публични функции, и на организациите, предоставящи обществени услуги, по отношение на изискванията за сигурност и уведомяване за инциденти

Чл. 22. (1) Лицата и организациите по чл. 4, ал. 1, т. 3 и 4 осигуряват и отговарят за мрежовата и информационната си сигурност при предоставянето на административни услуги по електронен път.

(2) Лицата и организациите по ал. 1 уведомяват секторния екип за реагиране при инциденти с компютърната сигурност за инцидентите, които имат въздействие върху непрекъснатостта на предоставяните от тях административни услуги по електронен път. В тези случаи се прилага съответно чл. 21, ал. 4, 5 и 6.

(3) Секторният екип за реагиране при инциденти с компютърната сигурност запазва търговските интереси на лицата и организациите по ал. 1, както и поверителността на информацията, съдържаща се в уведомленията им.

Задължения на операторите на съществени услуги по отношение на изискванията за сигурност и уведомяване за инциденти

Чл. 23. (1) Операторите на съществени услуги предприемат:

1. подходящи и пропорционални мерки, които трябва да осигуряват ниво на мрежова и информационна сигурност, съответстващо на съществуващия риск;

2. подходящи мерки за предотвратяване и намаляване до минимум на въздействието на инцидентите, засягащи мрежовата и информационната им сигурност, с цел осигуряване на непрекъснатост на предоставяните от тях съществени услуги;

3. мерките, определени с наредбата по чл. 3, ал. 2.

(2) Операторите на съществени услуги уведомяват съответния секторен екип за реагиране при инциденти с компютърната сигурност за инцидентите, които имат въздействие върху непрекъснатостта на предоставяните от тях съществени услуги. В тези случаи се прилагат съответно чл. 21, ал. 4, 5 и 6.

(3) Когато оператор на съществени услуги разчита на доставчик на цифрови услуги, за да предоставя съществена услуга, операторът уведомява доставчика на цифрови услуги за всяко значително увреждащо въздействие върху непрекъснатостта на съществената услуга, дължащо се на инцидент, засягащ доставчика на цифрови услуги.

(4) Съответният секторен екип за реагиране при инциденти с компютърната сигурност запазва търговските интереси на оператора на съществени услуги, както и поверителността на информацията, съдържаща се в уведомлението му.

Предоставяне на информация

Чл. 24. (1) Съответният екип за реагиране при инциденти с компютърната сигурност при поискване предоставя на подалия уведомление за инцидент административен орган, лице или организация по чл. 4, ал. 1, т. 3 и 4 и оператор на съществени услуги съответната информация във връзка с последващите действия по уведомлението, включително информация, която би спомогнала за предприемането на ефективни действия при инцидента.

(2) След консултация със съответния субект по ал. 1, подал уведомлението, съответният екип за реагиране при инциденти с компютърната сигурност може да информира обществеността за отделни инциденти, когато е необходима обществена осведоменост с цел предотвратяване на инцидент или справяне с текущ инцидент.

Задължения на доставчиците на цифрови услуги по отношение на изискванията за сигурност и уведомяване за инциденти

Чл. 25. (1) Доставчиците на цифрови услуги предприемат:

1. подходящи и пропорционални технически и организационни мерки за управление на рисковете за сигурността на мрежите и информационните системи, използвани от тях при предоставянето на територията на Република България на услугите, посочени в приложение № 2;

2. подходящи мерки за предотвратяване и намаляване до минимум на въздействието на инцидентите, засягащи мрежовата и информационната им сигурност, върху предоставяните от тях на територията на Република България услуги, посочени в приложение № 2, с цел осигуряване на непрекъснатост на тези услуги;

3. мерките, определени с наредбата по чл. 3, ал. 2.

(2) Мерките по ал. 1, т. 1 осигуряват ниво на мрежова и информационна сигурност, съответстващо на съществуващия риск, като са съобразени със:

1. сигурността на системите и съоръженията;

2. действията при инциденти;

3. управление на непрекъснатостта на дейностите;

4. наблюдение, одит и изпитване;

5. спазване на международни стандарти.

(3) Доставчиците на цифрови услуги уведомяват съответния секторен екип за реагиране при инциденти с компютърната сигурност за инцидентите, които имат съществено въздействие върху непрекъснатостта на предоставяните от тях цифрови услуги. В тези случаи се прилагат съответно чл. 21, ал. 4, 5 и 6.

(4) За определяне на въздействието на даден инцидент като съществено се вземат предвид:

1. броят ползватели, засегнати от инцидента, и по-специално ползвателите, които разчитат на услугата за предоставяне на собствените си услуги;

2. продължителността на инцидента;

3. географският обхват по отношение на областта, засегната от инцидента;

4. степента на нарушаване на функционирането на услугата;

5. степента на въздействие върху стопанските и обществените дейности.

(5) Доставчиците на цифрови услуги подават уведомление по ал. 3 само когато имат достъп до информацията, която е необходима, за да се оцени въздействието на инцидента като съществено съгласно ал. 4.

(6) След консултация със засегнатия доставчик на цифрови услуги съответният секторен екип за реагиране при инциденти с компютърната сигурност и когато е приложимо, органите или екип за реагиране при инциденти с компютърната сигурност на други засегнати държави - членки на Европейския съюз, може да информират обществеността за отделни инциденти или да изискат от доставчика на цифрови услуги да информира за това, когато е необходима обществена осведоменост с цел предотвратяване на инцидент или справяне с текущ инцидент или когато разкриването на инцидента е в интерес на обществеността поради други причини.

(7) Съответният секторен екип за реагиране при инциденти с компютърната сигурност запазва търговските интереси на доставчика на цифрови услуги, както и поверителността на информацията, съдържаща се в уведомлението му.

Юрисдикция и териториалност по отношение на доставчик на цифрови услуги

Чл. 26. (1) Когато доставчик на цифрови услуги има седалище и адрес на управление или представител в Република България, но неговите мрежи и информационни системи са разположени в една или повече други държави - членки на Европейския съюз, съответният национален компетентен орган и компетентните органи на другите държави си сътрудничат и се подпомагат взаимно, ако е необходимо. Помощта и сътрудничеството може да включват обмен на информация между съответните компетентни органи и искания за предприемане на действията по чл. 16, ал. 8.

(2) Доставчик на цифрови услуги, който не е установен в държава - членка на Европейския съюз, но предлага в Европейския съюз услугите, посочени в приложение № 2, определя свой представител в Европейския съюз. Представителят трябва да е установен в една от държавите - членки на Европейския съюз, в които се предлагат услугите. Когато представителят е със седалище и адрес на управление в Република България, се приема, че доставчикът на цифрови услуги е под юрисдикцията на Република България.

(3) Определянето на представител от доставчика на цифрови услуги не засяга съдебните производства, които биха могли да бъдат започнати срещу самия доставчик на цифрови услуги.

Уведомяване за инциденти от субекти извън посочените по чл. 4 ал. 1

Чл. 27. (1) Субекти извън посочените по чл. 4, ал. 1 може да уведомяват секторните екипи за реагиране при инциденти с компютърната сигурност за инциденти, които имат въздействие върху непрекъснатостта на предоставяните от тях услуги.

(2) При обработването на уведомленията секторните екипи за реагиране при инциденти с компютърната сигурност действат съгласно съответните разпоредби на тази глава, като уведомленията на субектите по чл. 4, ал. 1 се обработват с предимство пред уведомленията по ал. 1.

(3) Уведомленията по ал. 1 се обработват само когато това не представлява несъразмерна или неоправдана тежест.

Отговорност за нарушения, свързани с уведомяване за инциденти

Чл. 28. (1) Административен орган, който не уведоми или уведоми след срока по чл. 21, ал. 4 секторния екип за реагиране при инциденти с компютърната сигурност за всеки инцидент, който има въздействие върху непрекъснатостта на неговата дейност, както и когато уведомлението не съдържа достатъчно информация по чл. 21, ал. 4, изречение второ, в случай че деянието не съставлява престъпление, се наказва с глоба от 1000 до 10 000 лв.

(2) При повторно нарушение по ал. 1 наказанието е глоба от 2000 до 20 000 лв.

(3) На лице или организация по чл. 4, ал. 1, т. 3 и 4, която не уведоми или уведоми след срока по чл. 21, ал. 4 секторния екип за реагиране при инциденти с компютърната сигурност за всеки инцидент, който има въздействие върху непрекъснатостта на предоставяните от тях административни услуги по електронен път, както и когато уведомлението не съдържа достатъчно информация по чл. 21, ал. 4, изречение второ, в случай че деянието не съставлява престъпление, се налага глоба от 1000 до 10 000 лв. или имуществена санкция от 1500 до 15 000 лв.

(4) При повторно нарушение по ал. 3 глобата е от 2000 до 20 000 лв., а имуществената санкция е от 5000 до 25 000 лв.

(5) Глобите и имуществените санкции по ал. 3 и 4 се налагат и на оператор на съществени услуги, който не уведоми или уведоми след срока по чл. 21, ал. 4 съответния секторен екип за реагиране при инциденти с компютърната сигурност за всеки инцидент, който има въздействие върху непрекъснатостта на предоставяните от него съществени услуги, както и когато уведомлението не съдържа достатъчно информация по чл. 21, ал. 4, изречение второ, в случай че деянието не съставлява престъпление.

(6) Глобите и имуществените санкции по ал. 3 и 4 се налагат и на доставчик на цифрови услуги, който не уведоми или уведоми след срока по чл. 21, ал. 4 съответния секторен екип за реагиране при инциденти с компютърната сигурност за всеки инцидент, който има съществено въздействие върху непрекъснатостта на предоставяните от него цифрови услуги, както и когато уведомлението не съдържа достатъчно информация по чл. 21, ал. 4, изречение второ, в случай че деянието не съставлява престъпление.

Отговорност за непредоставяне на информация или неизпълнение на указания

Чл. 29. (1) Административен орган, който не предостави информацията и доказателствата по чл. 16, ал. 5 или не изпълни задължителни указания по чл. 16, ал. 7, се наказва с глоба от 1000 до 10 000 лв.

(2) При повторно нарушение по ал. 1 наказанието е глоба от 2000 до 20 000 лв.

(3) Когато деянието по ал. 1 е извършено от оператор на съществени услуги, се налага глоба от 1000 до 10 000 лв. или имуществена санкция от 1500 до 15 000 лв.

(4) При повторно нарушение по ал. 3 глобата е от 2000 до 20 000 лв., а имуществената санкция е от 5000 до 25 000 лв.

(5) Глобите и имуществените санкции по ал. 3 и 4 се налагат и на доставчик на цифрови услуги, който не предостави информацията по чл. 16, ал. 8, т. 1 или не отстрани пропуск по чл. 16, ал. 8, т. 2.

Отговорност за други нарушения

Чл. 30. (1) Длъжностно лице, което извърши или допусне извършването на друго нарушение по глава втора, се наказва с глоба от 1000 до 10 000 лв., освен ако деянието не съставлява престъпление.

(2) При повторно нарушение по ал. 1 наказанието е глоба от 1500 до 15 000 лв.

(3) На лице, което не изпълни задължение по чл. 14, ал. 5, чл. 15, ал. 6 и чл. 19, ал. 3, се налага глоба от 1000 до 10 000 лв. или имуществена санкция от 1500 до 15 000 лв.

Установяване на нарушенията, издаване, обжалване и изпълнение на наказателните постановления

Чл. 31. (1) (Изм. - ДВ, бр. 15 от 2022 г., в сила от 22.02.2022 г.) Актовете за установяване на нарушения по този закон, извършени от административни органи, както и за нарушения по чл. 28, ал. 3 и 4 и по чл. 30, ал. 3 във връзка с чл. 19, ал. 3, се съставят от длъжностни лица, определени от министъра на електронното управление.

(2) Актовете за установяване на нарушения по този закон, извършени от оператори на съществени услуги или от доставчици на цифрови услуги, се съставят от длъжностни лица, определени от ръководителите на административните органи по чл. 16, ал. 1.

(3) Актовете за установяване на нарушения по чл. 30, ал. 3 във връзка с чл. 14, ал. 5 се съставят от длъжностни лица, определени от министъра на вътрешните работи.

(4) Актовете за установяване на нарушения по чл. 30, ал. 3 във връзка с чл. 15, ал. 6 се съставят от длъжностни лица, определени от председателя на Държавна агенция "Национална сигурност".

(5) Наказателните постановления се издават от:

1. (изм. - ДВ, бр. 15 от 2022 г., в сила от 22.02.2022 г.) министъра на електронното управление или от изрично оправомощени от него длъжностни лица - в случаите по ал. 1;

2. ръководителите на административните органи по чл. 16, ал. 1 или от изрично оправомощени от тях длъжностни лица - в случаите по ал. 2;

3. министъра на вътрешните работи или от изрично оправомощени от него длъжностни лица - в случаите по ал. 3;

4. председателя на Държавна агенция "Национална сигурност" или от изрично оправомощени от него длъжностни лица - в случаите по ал. 4.

(6) Установяването на нарушенията, издаването, обжалването и изпълнението на наказателните постановления се извършват по реда на закона за административните нарушения и наказания.