NIS2 в България — какво трябва да знае всеки бизнес
На 17 февруари 2026 г. България най-накрая транспонира Директива NIS2 чрез изменения в Закона за киберсигурност. С обхват от 10 000 до 12 000 организации, задължителни мерки за киберсигурност, лична отговорност на ръководството и глоби до €10 милиона, NIS2 е най-мащабната регулация за киберсигурност, влизала в сила в България. В тази статия разглеждаме всичко, което трябва да знаете — от обхвата до конкретните стъпки за съответствие.
Съдържание
Какво е NIS2
NIS2 (Directive (EU) 2022/2555) е европейската директива за мрежова и информационна сигурност от второ поколение. Тя заменя първата NIS директива от 2016 г. (Directive 2016/1148), която се оказа недостатъчна за справяне с нарастващите киберзаплахи в ЕС.
Основните разлики спрямо NIS1:
- Разширен обхват — от 7 на 18 сектора, покриващи значително по-голяма част от икономиката
- Хармонизирани санкции — минимални прагове на глобите, подобни на GDPR модела
- Лична отговорност — ръководителите лично отговарят за неспазване
- Разграничение essential/important — два типа субекти с различен надзорен режим
- По-строги изисквания за докладване — тристепенна процедура при инциденти
- Сигурност на веригата за доставки — изрично задължение за оценка на доставчици
Защо NIS2 е важна за GDPR-регулираните компании
NIS2 и GDPR се допълват. GDPR защитава личните данни, а NIS2 защитава мрежите и информационните системи. Много организации ще попаднат и под двата режима. Киберинцидент, който засяга и лични данни, изисква двойно докладване — и по NIS2, и по GDPR. Доброто GDPR съответствие е солидна основа за NIS2, но не е достатъчно само по себе си.
Транспониране в България
Пътят на NIS2 към българското законодателство беше дълъг и труден. Ето хронологията:
- 16 януари 2023 г. — NIS2 влиза в сила на ниво ЕС
- 17 октомври 2024 г. — краен срок за транспониране. България пропуска срока
- Ноември 2024 г. — Европейската комисия стартира наказателна процедура (infringement proceedings) срещу България и още 22 държави-членки
- Май 2025 г. — ЕК изпраща мотивирано становище (reasoned opinion), което е последната стъпка преди завеждане на дело пред Съда на ЕС
- 17 февруари 2026 г. — Народното събрание приема изменения в Закона за киберсигурност, с които транспонира NIS2
Няма преходен период
За разлика от някои очаквания, българският закон не предвижда преходен период за привеждане в съответствие. Задълженията са в сила от датата на обнародване. Единствената отстъпка: намалени санкции до 1 юни 2026 г., което дава де факто 3,5 месеца буфер. След 1 юни 2026 г. пълният санкционен режим влиза в сила.
По оценки на Министерството на електронното управление (МЕУ), между 10 000 и 12 000 организации в България попадат в обхвата на NIS2 — значително повече от около 100-те оператора на съществени услуги по старата NIS1.
Кои бизнеси попадат в обхвата
NIS2 разделя субектите на две категории: съществени (essential, Приложение I) и важни (important, Приложение II). Разликата е в нивото на надзор и размера на глобите.
Правило за размер (size-cap rule)
По общото правило NIS2 покрива средни и големи предприятия:
- 50+ служители, или
- €10M+ годишен оборот
Изключение: за някои критични сектори (DNS, TLD, облачни услуги, дата центрове, доставчици на удостоверителни услуги) размерът не е от значение — попадат независимо от броя служители.
18-те сектора
| Категория | Сектор | Примери за субекти |
|---|---|---|
| Съществени (Приложение I) | Енергетика | Електроразпределение, газ, нефт, централно отопление, водород |
| Транспорт | Въздушен, железопътен, воден, автомобилен | |
| Банкиране | Кредитни институции | |
| Финансови пазари | Борси, централни контрагенти, депозитари | |
| Здравеопазване | Болници, лаборатории, фармацевтика, медицински изделия | |
| Питейна вода | ВиК дружества, водоснабдителни оператори | |
| Отпадъчни води | Пречиствателни станции, канализационни оператори | |
| Цифрова инфраструктура | DNS, TLD, облачни услуги, дата центрове, CDN, IXP | |
| ИКТ управление (B2B) | Managed service providers (MSP), managed security (MSSP) | |
| Публична администрация | Централни и регионални органи на управление | |
| Космос | Оператори на наземна инфраструктура за космически услуги | |
| Важни (Приложение II) | Пощенски и куриерски услуги | Пощенски оператори, куриерски компании |
| Управление на отпадъци | Сметосъбиране, рециклиране, депониране | |
| Химическа промишленост | Производство и дистрибуция на химикали | |
| Храни | Производство, преработка и дистрибуция на храни | |
| Производство | Медицински изделия, компютри, електроника, машини, МПС | |
| Цифрови доставчици | Онлайн пазари, търсачки, социални мрежи | |
| Научноизследователска дейност | Научни организации (когато не са публични органи) |
Внимание: Хранителният сектор в България е разширен
В оригиналната директива хранителният сектор покрива само предприятия за производство и дистрибуция на едро. Българският закон обаче разширява обхвата до ВСИЧКИ предприятия за храни (включително търговия на дребно), които отговарят на критерия за размер. Това означава, че големи хранителни вериги и дистрибутори, които не биха попадали по директивата, попадат по българския закон.
10 задължителни мерки по чл. 21
Член 21 от NIS2 (транспониран в Закона за киберсигурност) определя 10 задължителни мерки за управление на рисковете за киберсигурност, които всяка попаднала в обхвата организация трябва да приложи:
-
Политики за анализ на риска и сигурност на информационните системи
Организациите трябва да разработят и поддържат актуални политики за оценка на риска, базирани на систематичен анализ на заплахите за информационните системи. Това включва методология за оценка на риска, рисков регистър и план за третиране на рисковете.
чл. 21(2)(а) NIS2 -
Управление на инциденти
Процедури за предотвратяване, откриване, анализиране и реагиране на инциденти, свързани с киберсигурността. Включва план за реагиране при инциденти, екип за реагиране, процедури за ескалация и документиране.
чл. 21(2)(б) NIS2 -
Непрекъсваемост на дейността и управление на кризи
Планове за непрекъсваемост на бизнеса (BCP), управление на резервни копия, възстановяване след бедствие (DRP) и управление на кризи. Организацията трябва да може да продължи да функционира по време и след киберинцидент.
чл. 21(2)(в) NIS2 -
Сигурност на веригата за доставки
Оценка на рисковете от доставчици и подизпълнители, включително рискове, свързани с конкретни ICT продукти и услуги. Организациите трябва да включат изисквания за киберсигурност в договорите с доставчици.
чл. 21(2)(г) NIS2 -
Сигурност при придобиване, разработка и поддръжка на мрежови и информационни системи
Включително обработка и оповестяване на уязвимости. Организациите трябва да прилагат сигурност по подразбиране (security by design) при разработка и внедряване на системи.
чл. 21(2)(д) NIS2 -
Политики и процедури за оценяване на ефективността на мерките за управление на рисковете
Редовни одити, тестове за проникване (penetration testing), оценки на уязвимости и вътрешни прегледи на ефективността на приложените мерки за киберсигурност.
чл. 21(2)(е) NIS2 -
Основни практики за кибернетична хигиена и обучение по киберсигурност
Програми за повишаване на осведомеността на персонала, редовни обучения за разпознаване на фишинг, социално инженерство и други заплахи. В България: задължително обучение на ръководството на всеки 2 години.
чл. 21(2)(ж) NIS2 -
Политики и процедури за използване на криптография и криптиране
Определяне кога и как да се използва криптиране за защита на данни в покой и при пренос, управление на криптографски ключове, политики за алгоритми и дължини на ключове.
чл. 21(2)(з) NIS2 -
Сигурност на човешките ресурси, политики за контрол на достъпа и управление на активи
Контрол на достъпа на база принципа за минимални привилегии, управление на идентичности, инвентаризация на активи, политики за служители (onboarding/offboarding) и процедури за достъп.
чл. 21(2)(и) NIS2 -
Многофакторно удостоверяване и защитени комуникации
Използване на многофакторно удостоверяване (MFA) или непрекъснато удостоверяване, защитени гласови, видео и текстови комуникации, и защитени системи за комуникация при извънредни ситуации.
чл. 21(2)(й) NIS2
Пропорционалност на мерките
Мерките трябва да бъдат пропорционални на рисковете — т.е. малка куриерска компания няма да прилага същите технически мерки като банка. При преценката се отчитат: степента на излагане на рискове, размерът на субекта, вероятността от инциденти и тяхната сериозност, включително социалното и икономическото въздействие.
Докладване на инциденти
NIS2 въвежда тристепенна процедура за докладване на значими инциденти:
| Етап | Срок | Какво се докладва | До кого |
|---|---|---|---|
| Ранно предупреждение | 24 часа | Дали инцидентът е причинен от незаконни действия и дали има трансграничен ефект | CERT България / МЕУ |
| Уведомление за инцидент | 72 часа | Първоначална оценка на инцидента, включително сериозност и въздействие, и индикатори за компрометиране (IoC) | CERT България / МЕУ |
| Финален доклад | 1 месец | Подробно описание на инцидента, вид заплаха, първопричина, приложени мерки, трансграничен ефект | CERT България / МЕУ |
Кога инцидентът е „значим"?
Инцидент се счита за значим, когато:
- Е причинил или може да причини сериозно нарушение на услугите или финансови загуби за субекта
- Е засегнал или може да засегне други физически или юридически лица чрез причиняване на значителни материални или нематериални щети
Двойно докладване: NIS2 + GDPR
Когато киберинцидент засяга и лични данни, организацията трябва да докладва по двата режима паралелно:
| Аспект | NIS2 | GDPR |
|---|---|---|
| Първо докладване | 24 часа (ранно предупреждение) | 72 часа (уведомление до КЗЛД) |
| До кого | CERT България / МЕУ | КЗЛД |
| Фокус | Мрежова и информационна сигурност | Защита на лични данни на субектите |
| Уведомяване на засегнати лица | При необходимост — публично уведомяване | При висок риск за правата и свободите — чл. 34 GDPR |
Практическа препоръка
Изгответе единна процедура за реагиране при инциденти, която покрива и NIS2, и GDPR изискванията едновременно. Определете екип, който да може да стартира двете нотификации паралелно. Вижте нашата статия за докладване на теч на лични данни в 72-часовия срок за подробности по GDPR частта.
Лична отговорност на ръководството
Една от най-значимите промени с NIS2 е въвеждането на лична отговорност за ръководството на организациите. Член 20 от директивата (транспониран в Закона за киберсигурност) изисква:
- Ръководството одобрява мерките за управление на рисковете за киберсигурност по чл. 21
- Ръководството носи лична отговорност за неспазване на задълженията
- Ръководството преминава обучение по киберсигурност — в България: задължително на всеки 2 години (по-строго от директивата)
- Ръководството трябва да осигури обучение и на служителите за идентифициране на рискове
Възможно отстраняване от длъжност
При системно неизпълнение на задълженията по NIS2, надзорният орган може да поиска временно отстраняване от длъжност (suspension) на физическото лице от ръководна позиция, както и забрана за заемане на ръководни позиции (disqualification). Това е безпрецедентна мярка в областта на киберсигурността и показва, че ЕС и България третират киберсигурността като въпрос на корпоративно управление на най-високо ниво.
Глоби и санкции
NIS2 въвежда хармонизиран санкционен режим в целия ЕС, с минимални прагове, определени в директивата. Българският Закон за киберсигурност предвижда:
| Категория субект | Максимална глоба | Минимална глоба |
|---|---|---|
| Съществени субекти (essential) | до €10 000 000 или 2% от глобалния годишен оборот (по-високото) | €25 000 |
| Важни субекти (important) | до €7 000 000 или 1.4% от глобалния годишен оборот (по-високото) | €12 500 |
| Ръководители лично | €500 — €5 000 | €500 |
Допълнителни санкционни механизми:
- Ежедневни санкции — при продължаващо неизпълнение, глобата може да се начислява за всеки ден, докато нарушението не бъде отстранено
- Временно спиране на дейност — за съществени субекти, надзорният орган може да разпореди временно спиране или ограничаване на услугите
- Публично оповестяване — надзорният орган може да публикува информация за нарушителите
- Отстраняване на ръководство — виж раздела за лична отговорност по-горе
Намалени санкции до 1 юни 2026 г.
Българският закон предвижда намалени санкции за периода до 1 юни 2026 г. — фактически „гратисен период" за подготовка. След 1 юни 2026 г. пълният санкционен режим се прилага без изключения. Използвайте това време за привеждане в съответствие.
България-специфични по-строги изисквания
При транспонирането на NIS2, България е въвела няколко по-строги изисквания от предвидените в директивата:
-
Разширен хранителен сектор
Директивата покрива само предприятия за производство и дистрибуция на храни на едро. Българският закон разширява обхвата до всички предприятия за храни (включително търговия на дребно), отговарящи на критерия за размер. Това засяга десетки големи хранителни вериги и дистрибутори.
-
Задължително обучение на ръководството на всеки 2 години
Директивата изисква обучение на ръководството, без да конкретизира периодичност. Българският закон въвежда задължително обучение на всеки 2 години с документиране и сертифициране. Непреминалите обучение ръководители могат да бъдат санкционирани лично.
-
14-дневен срок за регистрационни промени
При промяна на обстоятелства (нов ръководител, промяна на контактни данни, промяна на статут), субектите трябва да уведомят надзорния орган в срок от 2 седмици. Директивата не поставя конкретен срок.
-
Технологични ограничения
Българският закон дава право на МЕУ да определя технологични ограничения за конкретни ICT продукти и услуги, които представляват заплаха за националната сигурност. Това може да засегне доставчиците от определени държави и да наложи подмяна на оборудване.
NIS2 vs GDPR — сравнение
Много организации вече са в съответствие с GDPR и се питат как NIS2 се различава. Ето подробно сравнение:
| Аспект | GDPR | NIS2 |
|---|---|---|
| Основен фокус | Защита на лични данни | Защита на мрежи и информационни системи |
| Правен инструмент | Регламент (директно приложим) | Директива (изисква транспониране) |
| Кого засяга | Всеки, който обработва лични данни | 18 конкретни сектора + size-cap критерий |
| Докладване на инциденти | 72 часа до КЗЛД | 24h + 72h + 1 месец до CERT/МЕУ |
| Надзорен орган в България | КЗЛД (Комисия за защита на личните данни) | МЕУ (Министерство на електронното управление) / CERT България |
| Максимална глоба | €20M или 4% от оборота | €10M или 2% от оборота (essential) |
| Лична отговорност | Косвена (чрез администратора) | Директна — глоби и отстраняване от длъжност |
| DPO / отговорно лице | DPO (при определени условия) | Няма изрично изискване за отделно лице, но ръководството носи отговорност |
| DPIA / оценка на риска | DPIA (при висок риск) | Задължителна оценка на риска за всички субекти |
| Верига за доставки | Договори с обработващи (чл. 28) | Задължителна оценка на рисковете от доставчици |
| Одит | Препоръчителен (GDPR одит) | Задължителен регулярен одит и тестове за проникване |
Взаимно допълване, не дублиране
GDPR и NIS2 не се дублират — те се допълват. Добрата GDPR програма (политики, обучения, процедури за инциденти, DPIA) е солидна основа за NIS2 съответствие. Но NIS2 добавя технически изисквания (penetration testing, MFA, криптиране, BCP/DRP), които GDPR не покрива изрично. Организациите трябва да интегрират двата режима в единна рамка за управление на информационната сигурност.
7 стъпки за подготовка
Ако вашата организация попада в обхвата на NIS2, препоръчваме следния план за действие:
-
Определете дали попадате в обхвата
Проверете дали вашият сектор е сред 18-те, покрити от NIS2, и дали отговаряте на критерия за размер (50+ служители или €10M+ оборот). Определете дали сте съществен или важен субект. Не забравяйте българското разширение за хранителния сектор.
-
Направете gap анализ
Оценете текущото си ниво на съответствие спрямо 10-те мерки по чл. 21. Идентифицирайте пропуските (gaps) и приоритизирайте ги по ниво на риск. Ако вече сте в съответствие с GDPR, голяма част от организационните мерки вероятно са налице. Направете цялостен одит, който покрива и двата режима.
-
Осигурете ангажимент на ръководството
Информирайте борда/управителите за личната им отговорност по NIS2. Осигурете бюджет за киберсигурност. Планирайте задължителното обучение на ръководството (в България — на всеки 2 години). Без ангажимент „отгоре" NIS2 проектът е обречен.
-
Разработете план за действие
На база gap анализа, създайте конкретен план с отговорници, срокове и бюджет. Приоритизирайте: управление на инциденти и докладване (24h правило), оценка на риска, сигурност на веригата за доставки. Определете реалистични срокове — преди 1 юни 2026 г. за пълно съответствие.
-
Внедрете технически мерки
Многофакторно удостоверяване (MFA) за всички критични системи. Криптиране на данни в покой и при пренос. Система за управление на уязвимости. Планове за непрекъсваемост и възстановяване (BCP/DRP). Мрежова сегментация и мониторинг. Провеждане на тестове за проникване (penetration testing).
-
Създайте процедура за докладване на инциденти
Изградете единна процедура, която покрива и NIS2 (24h/72h/1 месец до CERT), и GDPR (72h до КЗЛД). Определете екип за реагиране. Тествайте процедурата с учебни инциденти (tabletop exercises). Осигурете 24/7 канал за докладване.
-
Документирайте и поддържайте
NIS2 съответствието не е еднократен проект. Документирайте всички политики, процедури и обучения. Провеждайте регулярни одити и тестове. Актуализирайте оценката на риска при промяна на заплахите или бизнес средата. Поддържайте регистър на инциденти и предприети мерки.
Често задавани въпроси
Кога влиза в сила NIS2 в България?
NIS2 е транспонирана в България чрез изменения в Закона за киберсигурност, приети на 17 февруари 2026 г. Задълженията са в сила от датата на обнародване — няма преходен период. До 1 юни 2026 г. действат намалени санкции, след което се прилага пълният санкционен режим.
Моята фирма има 45 служители — попада ли в NIS2?
По общото правило (size-cap) NIS2 покрива средни и големи предприятия с 50+ служители или €10M+ годишен оборот. Ако имате 45 служители и оборот под €10M, по принцип не попадате. Изключение: ако сте доставчик на DNS, TLD, облачни услуги, дата център или удостоверителни услуги — размерът не е от значение.
Каква е разликата между essential и important субект?
Essential (съществени) субекти са от 11-те сектора по Приложение I и подлежат на проактивен надзор (надзорният орган проверява по своя инициатива) и по-високи глоби (до €10M/2%). Important (важни) субекти са от 7-те сектора по Приложение II и подлежат на реактивен надзор (проверка след инцидент или сигнал) с по-ниски глоби (до €7M/1.4%).
Трябва ли да докладвам инцидент и по NIS2, и по GDPR?
Да, ако инцидентът засяга и мрежовата сигурност, и лични данни, се изисква двойно докладване: по NIS2 до CERT България/МЕУ (24h ранно предупреждение + 72h уведомление + 1 месец финален доклад) и по GDPR до КЗЛД (72h уведомление по чл. 33). Препоръчваме единна процедура за реагиране, която покрива и двата режима.
Какви са глобите по NIS2 в България?
За съществени субекти: до €10 000 000 или 2% от глобалния годишен оборот, с минимум €25 000. За важни субекти: до €7 000 000 или 1.4% от оборота, с минимум €12 500. Ръководители лично: от €500 до €5 000. Възможни са ежедневни санкции при продължаващо неизпълнение. До 1 юни 2026 г. санкциите са намалени.
Тази статия отразява правното положение към 23 март 2026 г. Информацията е с информативен характер и не представлява правна консултация. За конкретен правен съвет относно NIS2 съответствието на вашата организация, моля свържете се с нас.
NIS2 + GDPR одит на съответствието
Не чакайте 1 юни 2026 г. — подгответе се сега. Нашият екип от юристи и IT специалисти ще направи цялостна оценка на вашето съответствие с NIS2 и GDPR.
- Определяне на статут (essential/important) и обхват
- Gap анализ спрямо 10-те мерки по чл. 21
- Оценка на риска и план за третиране
- Процедура за докладване на инциденти (NIS2 + GDPR)
- Обучение на ръководството (задължително по българския закон)
- Тестове за проникване и оценка на уязвимости
Получавайте нови статии директно в пощата си
Практически анализи по GDPR и киберсигурност. Без спам.
Можете да се отпишете по всяко време. Политика за поверителност
Адв. Димитрова е CIPP/E сертифициран специалист по защита на лични данни с дългогодишен опит в правото на ЕС. Адв. Чолаков е експерт по GDPR съответствие, международни трансфери на данни и whistleblowing. Заедно консултират над 90 компании за пълно GDPR съответствие.