Длъжна ли е моята клиника да спазва NIS2?

Зависи от размера и ролята ви. Законът обхваща средни и големи предприятия в засегнатите сектори, сред които е и здравеопазването. Малките организации може да не попадат пряко, но често са доставчици на такива, които попадат — и изискванията достигат до тях по договор. Дали конкретно вашата клиника попада е правна квалификация — препоръчваме консултация, преди да приемете, че сте или не сте задължени.

Какво да правим, ако сме малък медицински център?

Дори да не попадате пряко в обхвата, базовите мерки — защитена служебна поща в собствен домейн, проверими бекъпи, контролиран достъп и сегментирана мрежа — намаляват риска и улесняват работата с по-големи партньори, които вече изискват сигурност по веригата на доставка.

Откъде да започнем подготовката за NIS2?

С преценка дали и като какъв субект попадате, последвана от оценка на риска и затваряне на очевидните пропуски: многофакторна автентикация, изолирани бекъпи, контролиран отдалечен достъп, сегментирана мрежа и документация. Ние помагаме с техническата страна; за правната квалификация насочваме към консултация.

Колко време отнема подготовката?

Зависи от текущото състояние на средата. Първоначалната преценка и приоритизирането отнемат дни; внедряването на мерките — седмици. Преходният период с намалени санкции изтича на 1 юли 2026 г., затова е разумно да започнете сега.

NIS2 за клиники и медицински центрове

Директивата NIS2 вече е част от българското законодателство. Законът за изменение и допълнение на Закона за киберсигурност (обнародван в Държавен вестник бр. 17 от 13 февруари 2026 г.) влезе в сила на 17 февруари 2026 г. и транспонира Директива (ЕС) 2022/2555. Здравеопазването е сред засегнатите сектори.

Ако управлявате клиника, медицински център или лаборатория, основният въпрос е практичен: попадате ли в обхвата, и ако да — какво конкретно трябва да направите? Има и важен срок: преходният период с намалени санкции изтича на 1 юли 2026 г. С други думи — остават месеци, а не години. По-долу обясняваме на разбираем език какво значи това за здравна организация.

Тази статия има информативен характер и не е правен съвет. Ние помагаме с техническата страна на съответствието; за правната квалификация дали попадате в обхвата се консултирайте със специалист.

Попадате ли в обхвата?

Честният отговор е: зависи — и не всяка клиника е автоматично задължена. NIS2 разширява обхвата от 6 на 18 сектора и се прилага за средни и големи предприятия в засегнатите сектори, сред които е здравеопазването. Затова правилната рамка не е „всяка клиника е длъжна", а:

Ако попадате в обхвата като среден или голям субект в здравния сектор — задълженията важат пряко за вас.
Ако сте доставчик на организация, която попада (напр. обслужвате болница или верига центрове) — изискванията достигат до вас по веригата на доставка, чрез договори.

Малките практики често не попадат пряко, но са доставчици или партньори на такива, които попадат. Дали конкретно вашата организация е задължена е правна квалификация — затова препоръчваме да я проверите със специалист, преди да приемете, че сте или не сте обхванати.

Какво изисква законът на практика

Сърцевината на NIS2 е набор от минимални мерки за управление на риска. Преведени на разбираем език за немедицински управител, най-важните са:

Политика за информационна сигурност — писани правила как се борави с данни, достъпи и системи (а не неформална практика).
Анализ и оценка на риска — къде са слабите места и какво застрашава работата на клиниката.
Откриване и реакция при инциденти — кой засича проблем, кой решава и кой докладва.
Непрекъсваемост на дейността — бекъпи, които реално възстановяват, и план какво се прави при срив.
Обучение на персонала — служителите да разпознават фишинг и да следват процедурите.
Защита на веригата на доставка — контрол върху сигурността на доставчиците ви.

За здравна организация това не е бюрокрация заради бюрокрацията — повечето от тези мерки директно намаляват риска от спиране на регистратурата, лабораторията или образната диагностика.

Срокове за докладване на инцидент

NIS2 въвежда строги, каскадни срокове при значим инцидент:

До 24 часа — ранно предупреждение към компетентния орган.
До 72 часа — междинна оценка на инцидента.
До 1 месец — окончателен доклад с причини и предприети мерки.

На практика за клиника това означава, че трябва да имате готов процес предварително: кой засича, кой взема решение, кой докладва и в какъв формат. 24 часа са кратък срок, ако започнете да измисляте процедурата чак след като нещо се случи — особено когато едновременно се грижите и за непрекъснатостта на медицинската дейност.

Санкции и лична отговорност

Санкциите са съществени: за съществените субекти достигат до 20 млн. лв. или 2% от годишния оборот. Освен това NIS2 въвежда лична отговорност на ръководството — управители и мениджъри носят отговорност за прилагането на мерките и при тежки нарушения могат да бъдат временно отстранявани от ръководни функции. Отговорността за киберсигурността вече не може да бъде изцяло „спусната" към IT.

Служебната поща: често пренебрегваната дупка

Една от най-честите слабости в здравните организации е имейлът. Служебната кореспонденция трябва да върви през собствен домейн, правилно конфигуриран — а не през публични услуги като Gmail, ABV или Mail.bg. Използването на безплатни пощи за служебна и пациентска кореспонденция създава проблеми както по Закона за киберсигурност, така и по GDPR: нямате контрол върху данните, върху достъпа, нито доказуема защита на комуникацията.

Правилно настроеният фирмен имейл (с автентикация SPF, DKIM и DMARC, криптиране и контролиран достъп) е едновременно изискване за съответствие и практична защита от фишинг и злоупотреба с името на клиниката. Това е област, в която имаме измеримо доказателство: собственият ни мейл сървър постигна 100% на независимия тест internet.nl и влезе в Hall of Fame. Същата задълбоченост влагаме в имейл сървърите на клиентите ни.

С какво помагаме

Ние не сме правни консултанти — помагаме с техническите мерки, които стоят зад съответствието и реално намаляват риска:

Защитена служебна поща в собствен домейн — имейл сървъри и сигурност.
Сегментирана и контролирана мрежа, отдалечен достъп през VPN — мрежи и сигурност.
Проверими бекъпи, мониторинг и документация на средата — IT инфраструктура и поддръжка.

Как изглежда това в реална здравна среда показваме в казуса за болница Софиямед — продукционна инфраструктура, която управляваме от 2023 г. За общия преглед на закона вижте и какво изисква NIS2 за бизнеса.

Какво да направите сега

Преходният период изтича на 1 юли 2026 г., затова разумните първи стъпки са:

Проверете статуса си — попадате ли в обхвата, и като какъв (със специалист).
Затворете очевидните пропуски — служебна поща в собствен домейн, многофакторна автентикация, изолирани бекъпи, сегментирана мрежа.
Подгответе процес за инциденти — с ясни роли за докладване в 24/72 часа.
Документирайте — политиките и мерките трябва да са записани и поддържани.

Посочваме само това, което можем да потвърдим. Ако искате трезва преценка докъде е средата ви и какво липсва — започнете с безплатна първоначална преценка.

NIS2 за клиники и медицински центрове: какво изисква законът и какво да направите