Закон за киберсигурност / Директива МИС 2/NIS 2

Съответствие със Закона за киберсигурност/Директива NIS2 — с ясен план и експертна подкрепа

Законът за киберсигурност (ЗКС) вече е в сила. Ако Вашата организация попада в обхвата му — като съществен или важен субект — задълженията са конкретни, сроковете текат, а санкциите са в евро. Нашите консултанти помагат на организации в България да определят задълженията си, да отстранят пропуските и да изградят система за управление на киберсигурността, която издържа на проверка.

Законът за киберсигурност вече е в сила — и санкциите са проектирани да привлекат вниманието на ръководството

На 5 февруари 2026 г. Народното събрание прие Закона за изменение и допълнение на Закона за киберсигурност (ЗКС), с който Директива (ЕС) 2022/2555 — известна като Директива МИС 2/NIS 2 — беше транспонирана в българското законодателство. Законът е обнародван в Държавен вестник, бр. 17 от 13 февруари 2026 г. и е в сила. Задълженията за съществените и важните субекти са приложими от момента на обнародването. Преходният период предвижда конкретни срокове: до юли 2026 г. Министерският съвет приема методика за определяне на субектите, до октомври 2026 г. се актуализира Наредбата за минималните изисквания за мрежова и информационна сигурност (НМИМИС), а до декември 2026 г. националните компетентни органи определят конкретните субекти. Ако Вашата организация попада в обхвата, времето за действие е сега.

Това, което отличава новия ЗКС от предходната му версия, е къде поставя отговорността. Ръководителите на организациите — управителите и членовете на управителните органи — са длъжни лично да одобряват и контролират мерките за управление на риска в областта на киберсигурността. Те са задължени да преминат обучение по киберсигурност поне веднъж на две години, а да осигурят обучение за всички служители — всяка година. При неизпълнение на тези задължения по чл. 21 от закона на ръководителите се налага лична глоба от 500 до 5 000 евро. За съществените субекти компетентният орган може да поиска от съда временна забрана за упражняване на управленски функции. Киберсигурността вече не е задължение на ИТ отдела — тя е въпрос на корпоративно управление.

Съществени субекти
До €10 000 000
или 2% от общия световен годишен оборот
не по-малко от €25 000
Важни субекти
До €7 000 000
или 1,4% от общия световен годишен оборот
не по-малко от €12 500

Моделът на санкциите е заимстван от GDPR — Европейският съюз прилага същия механизъм, който успя да превърне защитата на личните данни в приоритет на ниво управителен съвет.

Отвъд финансовите последствия, разпоредбите на закона за сигурност на веригата за доставки създават вторичен ефект. Субектите в обхвата на закона са задължени да оценяват киберсигурността на своите преки доставчици. Това означава, че дори организации извън обхвата на ЗКС се сблъскват с изисквания от своите клиенти да демонстрират определено ниво на информационна сигурност като условие за продължаване на бизнес отношенията.

Какво изисква Законът за киберсигурност (и какво е различното спрямо преди)

Изменението на Закона за киберсигурност от 2026 г. замества предходната рамка от 2018 г., която обхващаше само 6 сектора и категорията „оператори на съществени услуги". Новият ЗКС разширява обхвата до 18 сектора и въвежда две категории — „съществени субекти" и „важни субекти" — с различен режим на надзор и санкции.

Законът работи чрез четири взаимосвързани групи задължения:

Управление на риска

Субектите в обхвата на закона трябва да приемат систематичен подход за управление на рисковете за сигурността на мрежовите и информационните системи. Член 22 от ЗКС определя 12 категории мерки, които формират минималния стандарт — от анализ на риска и сигурност на информационните системи до управление на измененията на информационните активи.

Корпоративна отговорност

Ръководството трябва да одобрява и контролира мерките за управление на риска. Управителите и членовете на управителните органи са лично задължени да преминат обучение по киберсигурност. Персоналната отговорност при неизпълнение е изрично регламентирана — с глоби от 500 до 5 000 евро и възможност за временна забрана за упражняване на управленски функции.

Докладване на инциденти

Значителните инциденти се докладват на секторния ЕРИКС (Екип за реагиране при инциденти с компютърната сигурност) по четиристъпкова процедура: ранно предупреждение в рамките на 24 часа, уведомление с първоначална оценка до 72 часа, междинен доклад при поискване от СЕРИКС и окончателен доклад до един месец.

Непрекъснатост на дейността

Организациите трябва да разполагат с документирани планове за поддържане на основните услуги по време на и след киберинцидент — включително управление на резервни копия, възстановяване след бедствия и управление на кризи.

Законът не предписва конкретни технически решения. Изискването е организацията да може да демонстрира последователен, документиран и пропорционален подход към всяка от посочените области. В това се крие и гъвкавостта — начинът на изпълнение е по Ваш избор, но самото изпълнение не е.

Кой трябва да спазва Закона за киберсигурност

Първият въпрос е дали Вашата организация попада в обхвата на закона. ЗКС се прилага за средни и големи организации, които оперират в посочените по-долу сектори. Общите прагове за размер са:

  • Големи субекти: над 250 служители или годишен оборот над €50 млн. и балансово число над €43 млн.
  • Средни субекти: 50–250 служители или годишен оборот от €10 до €50 млн.

Определени категории попадат в обхвата независимо от размера — включително доставчиците на обществени електронни съобщителни мрежи и услуги, доставчиците на квалифицирани удостоверителни услуги и регистрите на имена на домейни от първо ниво. Административните органи, включително общините, също са определени като съществени субекти.

Съществени субекти

Приложение I
  • Енергетика
  • Транспорт
  • Банков сектор (DORA има приоритет)
  • Инфраструктура на финансов пазар
  • Здравеопазване
  • Питейна и отпадъчна води
  • Цифрова инфраструктура
  • Управлявани услуги
  • Публична администрация (вкл. общини)
  • Космос

Важни субекти

Приложение II
  • Пощенски и куриерски услуги
  • Управление на отпадъци
  • Производство на химикали
  • Производство на храни
  • Производство (медицински изделия, електронни продукти, машини, МПС)
  • Цифрови доставчици (онлайн пазари, търсачки, социални мрежи)
  • Научноизследователски организации

Основните изисквания по чл. 22 от Закона за киберсигурност

Член 22 от ЗКС определя мерките за управление на риска, които всички субекти в обхвата трябва да внедрят. Те не са препоръчителни — те са минималният стандарт. Вашата организация трябва да може да демонстрира, че всяка от тези области е адресирана чрез документирани политики, внедрени контроли и доказателства за тяхното прилагане.

Политики за анализ на риска и сигурност на информационните системи.

Формални, документирани политики за оценка на рисковете и осигуряване на сигурността на Вашите информационни системи.

Действия при инцидент.

Документиран план за превенция, откриване, анализ, ограничаване и реагиране при инциденти с киберсигурността.

Непрекъснатост на стопанската дейност и управление на кризи.

Конкретни планове за управление на резервни копия, възстановяване след бедствия и управление на кризи с цел поддържане на услугите по време на инцидент.

Сигурност на веригата за доставка.

Оценка на рисковете за киберсигурността, произтичащи от преките Ви доставчици и доставчици на услуги, включително подходящи договорни изисквания.

Сигурност при придобиване, разработване и поддръжка на мрежови и информационни системи.

Политики за предприемане на действия при уязвимости и тяхното оповестяване, като сигурността е вградена в целия жизнен цикъл на системите.

Оценка на ефективността.

Политики и процедури за регулярно тестване и оценяване на мерките за управление на риска — чрез тестове за проникване, одити или непрекъсната оценка.

Основни киберхигиенни практики и обучение.

Базови практики за сигурност и редовно обучение за всички служители, включително ръководството. По ЗКС: обучение за ръководството — поне на всеки 2 години, за служителите — всяка година.

Политики за криптография и криптиране.

Ясни политики относно използването на криптография за защита на данните в покой и в движение.

Сигурност на човешките ресурси, контрол на достъпа и управление на активи.

Сигурни HR процеси, контрол на достъпа по принципа на минималните привилегии и поддържан инвентар на критичните активи.

Многофакторно удостоверяване (MFA).

Внедряване на многофакторни или непрекъснати решения за удостоверяване на автентичността и защитени комуникационни канали за спешна комуникация, когато е целесъобразно.

Управление на измененията на информационните активи.

Контролирани процедури за проследяване и управление на промените в информационните активи — допълнително изискване, въведено в българския ЗКС извън десетте мерки на Директива НИС 2.

Мерките се прилагат пропорционално. Предстои актуализация на НМИМИС до октомври 2026 г. Член 22 включва и точка 12 — относно мерки за управление на риска и задължения за докладване за субекти, установени като критични съгласно Директива (ЕС) 2022/2557.

Структуриран път от текущото Ви състояние до документирано, защитимо съответствие

Съответствието със Закона за киберсигурност не е еднократен проект. То е непрекъснато състояние, което организацията Ви трябва да поддържа и да може да демонстрира. Нашата роля е да Ви помогнем да го постигнете ефективно и да Ви оставим със структурите за управление, за да го поддържате.

Ето как работим:

Фаза 1 — Определяне на обхвата и приложимостта

Началната точка не винаги е очевидна. Определяме категорично дали Вашата организация попада в обхвата на ЗКС, в коя категория — съществен или важен субект — и кой национален компетентен орган е отговорен за Вашия сектор. До декември 2026 г. НКО по сектори трябва да определят конкретните субекти в съответствие с методиката на Министерския съвет.

Резултати:
Определяне на приложимосттаКласификация на субектаИдентифициране на компетентния орган

Фаза 2 — Gap анализ

Това е диагностичната фаза. Оценяваме текущите Ви мерки за сигурност, политики и процеси спрямо всички изисквания на чл. 22 от ЗКС. Процесът включва структурирани интервюта със заинтересованите страни, преглед на съществуваща документация и техническа оценка, когато е необходимо.

Резултати:
Доклад за gap анализ по ЗКСПриоритизирани констатацииДоказателства за надлежна проверка

Фаза 3 — Оценка на риска и пътна карта

С идентифицираните пропуски ги превръщаме в бизнес рискове и изграждаме практически план за отстраняването им. Пътната карта е конкретна за ресурсите, приоритетите и оперативния контекст на Вашата организация — не е универсален списък. За организации, които трябва да осигурят одобрение от ръководството и бюджет, изготвяме кратък доклад за ръководството, подходящ за представяне пред управителния орган.

Резултати:
Формална оценка на рискаПриоритизиран план за действиеКратък доклад за ръководството

Фаза 4 — Подкрепа при внедряване

Осигуряваме практическа подкрепа през целия етап на внедряване: разработване и усъвършенстване на политики и структури за управление, консултации по технически контроли включително многофакторно удостоверяване и криптиране, и изграждане на програмата за сигурност на веригата за доставка — включително договорни изисквания и процеси за оценка на доставчици. Разработваме и провеждаме обучение по киберсигурност: обучение за осведоменост за всички служители и специализирани модули за ръководството, за да изпълнят законовото си задължение за обучение по ЗКС.

Резултати:
Политики и процедури за управлениеОбучение за осведоменост на служителиПрограма за сигурност на веригата за доставка

Фаза 5 — Тестване, валидация и текуща подкрепа

Съответствието не е състояние, което се постига веднъж — то се поддържа. Проектираме и провеждаме tabletop упражнения и кризисни симулации, за да тестваме плановете Ви за реагиране при инциденти и непрекъснатост на дейността преди реален инцидент. Подготвяме организацията Ви за проверки от надзорните органи, гарантираме, че документацията е актуална и последователна, и помагаме за внедряването на процеси за мониторинг, които сигнализират при отклонение от съответствие. За организации, които имат нужда или вече притежават сертификация по ISO 27001, интегрираме двете програми навсякъде, където контролите се припокриват — за да избегнем дублиране на усилия и да максимизираме възвръщаемостта от инвестицията Ви в съответствие.

Резултати:
Tabletop упражнения и кризисни симулацииПодготовка за надзорни проверкиТекущ мониторинг на съответствието

Експертен екип, който разбира пълната регулаторна картина

  • Разбираме регулаторния контекст. Нашите консултанти работят по ISO 27001, DORA и ЗКС/НИС 2. Там, където тези рамки се припокриват, избягваме дублирането и максимизираме инвестицията Ви в съответствие.
  • Говорим на езика на ръководството, не само на ИТ. ЗКС поставя пряка отговорност на ръководството. Подготвяме управителния Ви орган и мениджърския екип да разберат и изпълнят законовите си задължения по чл. 21.
  • Оставаме с Вас и след първоначалния проект. Съответствието не е състояние, което се постига веднъж. Изграждаме структурите за мониторинг и управление, от които организацията Ви се нуждае, за да го поддържа.
★★★★★

„HEIC LTD направи внедряването на ISO 27001 лесно и разбираемо. Обясниха всичко ясно, водиха ни стъпка по стъпка и преминахме одита с отличен резултат. В резултат вече имаме стабилна рамка за управление на риска и по-силна култура на информационна сигурност. Самият сертификат помага при работата с клиентите ни, тъй като работим в много консервативна и взискателна индустрия. Вече препоръчах HEIC LTD на колеги от други компании."

Закон за киберсигурност — ЧЗВ

Законът за киберсигурност (ЗКС) е основният нормативен акт на Република България в областта на киберсигурността. Приетият през февруари 2026 г. Закон за изменение и допълнение на ЗКС транспонира Директива (ЕС) 2022/2555 — известна като Директива МИС 2/NIS 2 — в българското законодателство. Законът изисква от организациите в критични и важни сектори да внедрят мерки за управление на риска в областта на киберсигурността, да спазват задължения за докладване на инциденти и да създадат управленски структури, които държат ръководството лично отговорно.

По принцип средни и големи организации, които оперират в един от 18-те сектора, определени в Приложения I и II на закона. Средни означава 50 или повече служители или годишен оборот над €10 млн. Големи означава над 250 служители или оборот над €50 млн. Определени категории — като доставчиците на удостоверителни услуги, доставчиците на обществени електронни съобщителни мрежи и административните органи, включително общините — попадат в обхвата независимо от размера. Организации извън обхвата могат да бъдат засегнати косвено чрез изискванията за сигурност на веригата за доставки.

Член 22 определя 12 категории мерки, включващи: политики за анализ на риска и сигурност на информационните системи; действия при инцидент; непрекъснатост на стопанската дейност и управление на кризи; сигурност на веригата за доставка; сигурност при придобиване, разработване и поддръжка; оценка на ефективността; киберхигиенни практики и обучение; криптография и криптиране; сигурност на човешките ресурси и контрол на достъпа; многофакторно удостоверяване; управление на измененията на информационните активи; както и мерки за субекти, установени като критични. Всички субекти в обхвата трябва да могат да демонстрират изпълнението на всяка от тези области.

При значителни инциденти законът предвижда четиристъпкова процедура. Ранно предупреждение трябва да бъде подадено до секторния ЕРИКС в рамките на 24 часа от узнаването на инцидента. Уведомление с първоначална оценка, тежест и индикатори за компрометиране — до 72 часа. Междинен доклад — при поискване от СЕРИКС. Окончателен доклад с подробно описание, причини и предприети мерки — до един месец.

И двете категории трябва да внедрят едни и същи мерки за сигурност и да спазват едни и същи задължения за докладване. Разликата е в режима на надзор и санкциите. Съществените субекти подлежат на проактивен надзор — националните компетентни органи активно и регулярно проверяват тяхното съответствие чрез планови и внезапни проверки. Важните субекти подлежат на реактивен надзор — проверки се задействат обикновено при сигнал или инцидент. Съществените субекти са обект и на по-високи максимални санкции.

Да. Съгласно чл. 21 от закона ръководителите на организациите трябва формално да одобряват и контролират мерките за управление на риска и да преминат обучение по киберсигурност. При нарушение на тези задължения на ръководителите се налага лична глоба от 500 до 5 000 евро (чл. 29, ал. 4). За съществените субекти компетентният орган може да поиска от съда временна забрана за упражняване на управленски функции. Практическото послание е едно: киберсигурността е отговорност на ниво управителен орган, не нещо, което може да бъде изцяло делегирано.

За съществените субекти: имуществена санкция до €10 000 000 или до 2% от общия световен годишен оборот, което от двете е по-високо, но не по-малко от €25 000. За важните субекти: до €7 000 000 или до 1,4% от оборота, не по-малко от €12 500. Освен финансовите санкции, надзорните органи могат да издават задължителни предписания, да изискват одити и да прилагат принудителни мерки. При неизпълнение на принудителни административни мерки: допълнителна глоба от €2 500 до €12 000, а при повторно нарушение — от €5 000 до €25 000.

Двете рамки се допълват в значителна степен. Сертификацията по ISO 27001 демонстрира, че организацията разполага със структурирана, одитирана система за управление на информационната сигурност — което покрива голяма част от изискванията на ЗКС за управление на риска, управление и контроли. Организации, които вече са внедрили ISO 27001, обикновено са значително по-добре подготвени за съответствие със ЗКС и могат да го постигнат с по-малко допълнителни усилия. Обратното също е вярно: работата по ЗКС създава солидна основа за сертификация по ISO 27001.

Зависи от началната позиция на организацията. Организация със съществуващи политики за сигурност, документирани процеси за управление на риска и основни управленски структури обикновено може да постигне защитима позиция на съответствие в рамките на три до шест месеца. Организации с малко съществуваща документация или управленска рамка може да се нуждаят от шест до дванадесет месеца. Темпото зависи силно от наличността на вътрешни ресурси и скоростта на вземане на решения.

Системата е секторна. Министърът на електронното управление (МЕУ) изпълнява координираща роля и поддържа непубличен национален регистър на субектите. За всеки сектор — енергетика, транспорт, здравеопазване и т.н. — има определен национален компетентен орган (НКО), който осъществява надзора. ДАНС администрира Центъра за реагиране при инциденти за стратегически обекти. До декември 2026 г. НКО трябва да определят конкретните субекти в своите сектори.

НМИМИС е Наредбата за минималните изисквания за мрежова и информационна сигурност — подзаконовият акт, който конкретизира техническите и организационните мерки по ЗКС. Действащата НМИМИС предстои да бъде актуализирана до октомври 2026 г. в съответствие с новите изисквания на закона. Тя обхваща шест области: управление на сигурността, управление на риска и активите, организационни мерки, технически мерки, управление на инциденти и устойчивост и непрекъсваемост.

Да. Административните органи, включително общините, са определени като съществени субекти. Това означава, че подлежат на проактивен надзор и на по-високите нива на санкции.

Готови ли сте да приведете организацията си в съответствие със ЗКС?

Говорете с наш експерт за конкретната ситуация на Вашата организация. Ще Ви дадем ясна картина на задълженията Ви, къде се намирате спрямо тях и какво е необходимо, за да постигнете съответствие.

Говорете с експерт

Свържете се с експерт

Ще се свържем с Вас в рамките на един работен ден.

Уважаваме Вашата поверителност. Без нежелана поща.