Задължителна ли е вече NIS2 в България?

Да. NIS2 е транспонирана чрез изменения в Закона за киберсигурност, обнародвани в Държавен вестник бр. 17 от 13 февруари 2026 г. и в сила от 17 февруари 2026 г. Преходният период с намалени с 50% санкции продължава до 1 юли 2026 г.

Кои фирми попадат под NIS2?

Средни и големи предприятия в 18 сектора. Съществени субекти са организации с 250+ служители или оборот над 50 млн. евро; важни субекти — с 50–249 служители или оборот 10–50 млн. евро. Някои доставчици (DNS, облачни и удостоверителни услуги, електронни комуникации) попадат независимо от размера.

Какви са сроковете за докладване на инцидент по NIS2?

Ранно предупреждение до 24 часа, пълно уведомление до 72 часа и окончателен доклад до 1 месец след инцидента.

Какви са санкциите при неспазване на NIS2?

За съществени субекти — до 20 млн. лв. или 2% от глобалния годишен оборот; за важни субекти — до 14 млн. лв. или 1,4% от оборота.

NIS2 в България: вече е задължителна — какво трябва да направи бизнесът

Директивата NIS2 (Директива (ЕС) 2022/2555 относно мрежовата и информационната сигурност) вече не е „предстоящо" изискване — тя е транспонирана в българското законодателство и е в сила. Изменението на Закона за киберсигурност беше обнародвано в Държавен вестник бр. 17 от 13 февруари 2026 г. и влезе в сила на 17 февруари 2026 г. Преходният период с намалени с 50% санкции продължава до 1 юли 2026 г. — след това санкциите се прилагат в пълен размер.

С други думи: ако фирмата ви попада в обхвата, задълженията важат за вас сега, а не „някой ден". По-долу обясняваме на разбираем език кой е засегнат, какво конкретно изисква законът и откъде да започнете.

Какво е NIS2 накратко

NIS2 е общоевропейска рамка за киберсигурност, която заменя първата директива NIS от 2016 г. Целта е да повиши устойчивостта на организациите, които предоставят важни за обществото и икономиката услуги. Спрямо предишната рамка NIS2 разширява обхвата от 6 на 18 сектора, въвежда ясни минимални мерки, строги срокове за докладване на инциденти и осезаеми санкции при неспазване.

Попада ли вашата фирма в обхвата?

Законът разделя задължените организации на два вида — съществени и важни субекти. Разграничението зависи основно от сектора и от размера на предприятието:

Съществени субекти — организации с 250+ служители или годишен оборот над 50 млн. евро, опериращи в сектори от висока критичност.
Важни субекти — организации с 50–249 служители или оборот между 10 и 50 млн. евро.

Важно: за някои видове доставчици размерът няма значение — те попадат в обхвата независимо колко са големи. Това включва доставчици на DNS услуги, доставчици на облачни услуги, центрове за данни, удостоверителни услуги (trust services) и оператори на електронни съобщителни мрежи.

Секторите включват енергетика, транспорт, банки и финансови пазари, здравеопазване, питейна и отпадъчна вода, цифрова инфраструктура и доставчици на цифрови услуги, публична администрация, производство и дистрибуция на храни, управление на отпадъци, химикали, пощенски и куриерски услуги, космос и други. Българската транспозиция на места е по-строга от минимума на директивата — например в хранителния сектор обхватът е разширен спрямо Приложение II на NIS2.

Дори да не сте пряко задължен субект, голяма вероятност е да усетите NIS2 косвено: задължените организации трябва да контролират сигурността на веригата си от доставчици. Ако сте подизпълнител или IT доставчик на засегната фирма, изискванията ще достигнат и до вас чрез договорите.

Какво конкретно изисква законът

Сърцевината на NIS2 е набор от минимални мерки за управление на киберриска, които всеки задължен субект трябва да въведе. Основните са:

Политики за анализ и управление на риска и за сигурност на информационните системи
Управление на инциденти — откриване, реакция и възстановяване
Непрекъснатост на дейността — резервни копия, възстановяване при бедствие и управление на кризи
Сигурност на веригата за доставки, включително взаимоотношенията с доставчици
Сигурност при придобиване, разработка и поддръжка на системи, вкл. управление на уязвимостите
Политики и процедури за оценка на ефективността на мерките
Основна киберхигиена и обучение по киберсигурност на персонала
Политики за криптография и където е приложимо — за криптиране
Сигурност на човешките ресурси, контрол на достъпа и управление на активите
Многофакторна автентикация (MFA) и защитени комуникации

Съществен акцент на NIS2 е отговорността на ръководството. Управителните органи са длъжни да одобряват мерките за управление на риска и да упражняват надзор върху прилагането им — отговорността за киберсигурността вече не може да бъде „спусната" изцяло към IT отдела.

Докладване на инциденти: 24 часа, 72 часа, 1 месец

Един от най-строгите елементи на NIS2 е режимът за докладване на значими инциденти. Сроковете са каскадни:

До 24 часа — ранно предупреждение към компетентния орган / националния CSIRT
До 72 часа — пълно уведомление с първоначална оценка на инцидента
До 1 месец — окончателен доклад с причини, въздействие и предприети мерки

На практика това означава, че трябва предварително да имате процес: кой засича инцидента, кой взема решение, кой докладва и в какъв формат. 24 часа са много кратък срок, ако започнете да изграждате процедурата едва след като нещо се случи.

Санкции

Глобите по новия закон са значителни и са диференцирани според вида субект:

Съществени субекти — до 20 млн. лв. или 2% от годишния световен оборот (което е по-високо)
Важни субекти — до 14 млн. лв. или 1,4% от оборота

Контролът се осъществява от Министерството на електронното управление. За съществените субекти надзорът е проактивен (планови проверки, одити, сканиране на сигурността), докато при важните субекти контролът обикновено е последващ — при наличие на данни за нарушение.

Откъде да започнете

Съответствието с NIS2 не е еднократен проект, а процес. Практичните първи стъпки са:

Определете статуса си — попадате ли в обхвата и като какъв субект (съществен, важен или доставчик в нечия верига).
Направете оценка на риска — къде са активите ви, какви са заплахите и какви мерки вече имате.
Затворете очевидните пропуски — MFA, проверими и изолирани бекъпи, контролиран отдалечен достъп, сегментирана мрежа, навременни обновления.
Подгответе план за инциденти — с ясни роли и работещ процес за докладване в рамките на 24/72 часа.
Документирайте — политиките и мерките трябва да са документирани и поддържани, а не да съществуват само като неписана практика.

Много от тези мерки съвпадат с базовата хигиена за защита, която и без NIS2 е добра идея — например описаните в Ransomware защита за бизнес и 10 стъпки за по-сигурна IT среда. NIS2 просто прави част от тях задължителни и проверими.

Тази статия има информативен характер и не представлява правен съвет. За конкретна оценка на това дали и как NIS2 се прилага за вашата организация, консултирайте се с юрист. Ние можем да помогнем с техническата страна — мерките, мониторинга и процеса по реакция при инциденти.