Колко струва одит на сигурността в България през 2026: реални цени по тип одит
Alexander Sverdlov
Анализатор по сигурността
Най-важното накратко
- Няма една цена за "одит на сигурността". Има поне шест различни услуги под това име, с диапазони от около 2 500 лв. за фокусиран облачен преглед до над 22 000 лв. за пълен NIS2 readiness одит на средна организация. Първата стъпка не е да питате за цена, а да определите кой одит ви трябва.
- Една и съща услуга се котира с 5-кратна разлика. Пентест на уеб приложение може да струва 4 000 лв. или 18 000 лв. Разликата идва от обхват, дълбочина, опит на екипа, ръчна работа срещу автоматичен скенер и качество на доклада. Ниската цена почти винаги означава автоматичен скен, преименуван като "одит".
- Резултатът, не часовете, определя стойността. Добрият одит ви оставя приоритизиран план за действие, който можете да изпълните, доказателства за всяка находка и разговор с инженер. Лошият оставя 80-странична автоматична разпечатка без контекст.
- Пет червени флага в офертата: цена без дефиниран обхват, "одит" без нито един час ръчна работа, доклад без retest, екип без референции и сертификати, и обещание за "100 на сто сигурност" или "гарантирано минаване" на регулаторна проверка.
- Fixed-price оферта е възможна само след scoping. Сериозен доставчик иска 20-40 минути да разбере средата ви (брой системи, технологии, облак, хора), преди да даде твърда цена. Който дава число по телефона за 2 минути, или ще надцени, за да се застрахова, или ще намали обхвата мълчаливо.
- Одитът е началото, не краят. Самият доклад не повишава сигурността ви с нито един процент. Стойността се отключва при изпълнението на препоръките. Затова гледайте не само цената на одита, а и дали доставчикът предлага remediation поддръжка или vCISO retainer след това.
Преди няколко месеца ни се обади финансов директор на производствена компания от Пловдив с около 70 служители. Беше получил три оферти за "одит на сигурността" и не разбираше нищо. Първата беше за 2 900 лв., втората за 9 500 лв., а третата за 24 000 лв. "Едно и също нещо ли купувам три пъти на различна цена, или купувам три различни неща?" Беше точният въпрос. Купуваше три различни неща, описани с едни и същи две думи. Първата оферта беше за автоматичен скан на външния периметър с генериран доклад. Втората за GDPR преглед с интервюта. Третата за пълен ISO 27001 gap одит с пентест и план за внедряване. Нито един от тримата доставчици не му беше обяснил това.
Това объркване е норма, не изключение. "Одит на сигурността" в България е чадърен термин, под който се крият поне шест отделни услуги с различна методология, различни хора и пет пъти разлика в цената. Купувачът, който го прави за пръв път, почти винаги сравнява ябълки с круши и често избира най-евтината оферта, защото изглежда най-достъпна, без да разбира, че купува автоматичен скенер вместо одит.
Тази публикация разбива цената на одита на сигурността за българския пазар през 2026 година. Обяснява защо една и съща услуга се котира с 5-кратна разлика, дава реални ценови диапазони в лева за шестте най-търсени типа одити, описва какво трябва да включва обхватът на сериозен одит, изброява петте червени флага, които издават евтина имитация, и завършва с практичен начин да четете и сравнявате оферти. Числата отразяват реални оферти на българския пазар през последните 12 месеца за компании от 10 до 250 служители.
Стъпка 1
Защо една и съща услуга струва пет пъти повече при различни доставчици
Когато видите оферта за "пентест на уеб приложение" за 4 000 лв. до друга за 18 000 лв., нормалната реакция е да решите, че скъпата фирма просто печели повече. Понякога е така, но в по-голямата част от случаите двете оферти описват коренно различна работа под едно и също име. Има пет фактора, които заедно обясняват 5-кратната разлика, и всеки от тях си струва да разберете, преди да изберете по цена.
Първо, обхватът. "Одит на сигурността" може да означава една уеб система с 20 страници или цяла инфраструктура с 15 сървъра, три облака и 200 потребителя. Ако обхватът не е написан черно на бяло в офертата (брой системи, IP адреси, домейни, приложения, потребители), цената е безсмислена. Евтината оферта често е евтина просто защото покрива една десета от това, което мислите, че купувате.
Второ, ръчна работа срещу автоматичен скенер. Това е най-голямата разлика. Автоматичен скенер (Nessus, OpenVAS, Acunetix и подобни) пуска предефинирани проверки и генерира доклад за минути. Лицензът струва малко, така че доставчикът може да го продаде за 2 000-3 000 лв. с висок марж. Ръчен одит означава опитен човек, който мисли като нападател, открива логически грешки, верижи уязвимости и намира неща, които никой скенер не вижда. Това са дни човеко-труд на скъп специалист. Двете изглеждат еднакво в заглавието на офертата и нямат нищо общо в стойността.
Трето, опитът и сертификатите на екипа. Одит, направен от junior с курс отпреди година, и одит от инженер с 10 години опит и сертификати (OSCP, CISSP, ISO 27001 Lead Auditor) са различни продукти. Опитът се отразява в цената на часа, но и в това какво въобще ще бъде намерено. По-евтиният екип не намира по-малко проблеми, защото средата е по-сигурна, а защото не знае къде да гледа.
Четвърто и пето, дълбочината на доклада и наличието на retest. Доклад, който само изброява находки, струва по-малко от доклад с доказателство (proof of concept) за всяка, оценка на реалния риск за вашия бизнес, приоритизиран план и разговор с инженера, който да обясни. А retest (повторна проверка, че сте поправили нещата) почти никога не е включен в евтините оферти, въпреки че е точката, в която одитът реално намалява риска ви.
Практично правило: ако една оферта е драстично по-евтина от другите две за същата услуга, тя почти никога не е "по-добра сделка". В 9 от 10 случая разликата е, че е автоматичен скан, преименуван като одит, или че обхватът е тихомълком свит до част от средата ви. Поискайте от тримата доставчици да опишат обхвата в едни и същи термини и разликата веднага става очевидна.
Стъпка 2
Шестте типа одити с реални ценови диапазони за 2026
Ето шестте услуги, които българските компании най-често търсят под името "одит на сигурността", всяка с реален ценови диапазон в лева за 2026 година. Числата отразяват оферти на сериозни български и регионални доставчици за компании от 10 до 250 служители. Долният край на всеки диапазон е за малка, проста среда; горният за по-голяма или регулирана организация. Цените са без ДДС.
| Тип одит | Какво проверява | Цена (лв., без ДДС) | Времетраене |
|---|---|---|---|
| ISO 27001 gap / readiness одит | Разлика между текущото състояние и изискванията на стандарта | 4 000-12 000 | 2-4 седмици |
| Пентест на уеб приложение | Ръчно тестване на приложение за реални уязвимости | 5 000-18 000 | 1-3 седмици |
| Пентест на външна / вътрешна мрежа | Периметър, сървъри, мрежови услуги, повишаване на права | 3 500-14 000 | 1-3 седмици |
| GDPR одит за съответствие | Регистри, основания, договори, права на субектите, мерки | 3 500-12 000 | 2-4 седмици |
| NIS2 readiness одит | 13-те мерки по чл. 21, управление, докладване, верига | 6 000-22 000 | 3-6 седмици |
| Одит на Microsoft 365 / облачна конфигурация | Настройки за самоличност, имейл, споделяне, логове | 2 500-9 000 | 1-2 седмици |
| vCISO retainer (текущ надзор) | Постоянен външен директор по сигурността на месечна база | 2 500-9 000 / месец | текущо |
ISO 27001 gap одит е най-търсеният, когато западен или корпоративен клиент поиска сертификат. Той не е самата сертификация, а предварителната оценка колко далеч сте и какво трябва да направите. Цената зависи от това дали имате изобщо политики и процеси, или започвате от нула. Това е инвестиция, която после спестява от консултантската работа по внедряването.
Пентестът (на уеб приложение или мрежа) е там, където разликата между ръчна работа и скенер е най-болезнена. Ако виждате "пентест" за под 3 000 лв., в 95 на сто от случаите е автоматичен скан. Истинският пентест за дори средно по сложност приложение изисква няколко дни ръчна работа на опитен човек и затова стартира над 5 000 лв. За приложения, които обработват плащания или чувствителни данни, или когато клиент изисква пентест за договор, горният край на диапазона е оправдан.
GDPR и NIS2 одитите са регулаторни, не технически. GDPR одитът проверява документация, основания за обработка, договори с обработващи, права на субектите и технически и организационни мерки. NIS2 readiness одитът е по-широк и по-скъп, защото покрива 13-те минимални мерки по чл. 21 от Закона за киберсигурност, управлението, процеса за докладване на инциденти в срок 24/72 часа и сигурността на веригата на доставки. За субект, попадащ в обхвата на NIS2, този одит често е първата стъпка към съответствие преди контрол.
Одитът на Microsoft 365 е най-достъпният и често с най-висока възвръщаемост за малки компании, защото огромна част от българския бизнес живее в M365 или Google Workspace с подразбиращи се, несигурни настройки. А vCISO retainer-ът не е еднократен одит, а постоянен външен директор по сигурността на месечна база, който замества нуждата от скъп вътрешен CISO. За компании, които искат непрекъснат надзор вместо снимка веднъж годишно, това често е по-разумният модел.
Две уточнения за българския пазар. Първо, цените на местни и регионални доставчици са обикновено 20-40 на сто под тези на големите международни одиторски къщи за сравнима работа, но при местните е още по-важно да проверите кой конкретно ще тества, защото разликата в опита е по-голяма. Второ, за регулирани субекти част от разхода за NIS2 или киберсигурност понякога е допустим по европейски програми за дигитализация и устойчивост. Не разчитайте на това като сигурно финансиране, но си струва да попитате счетоводителя или консултанта по проекти, преди да заложите целия бюджет от собствени средства.
Стъпка 3
Какво трябва да изисквате в обхвата, преди да подпишете
Цената има смисъл само срещу ясно дефиниран обхват. Преди да приемете коя да е оферта, изисквайте писмено, черно на бяло, следните осем неща. Ако доставчикът се колебае да ги напише, това само по себе си е отговор за качеството, което ще получите.
| Елемент от обхвата | Какво да питате |
|---|---|
| Точен предмет | Кои системи, IP адреси, домейни, приложения и потребители влизат? Изброени поименно? |
| Методология | Ръчна работа или скенер? Каква рамка (OWASP, PTES, ISO 27001 Annex A)? |
| Кой я прави | Име и сертификати на инженера, не само логото на фирмата |
| Резултат (deliverable) | Доклад с доказателства, оценка на риска и приоритизиран план за действие? |
| Разговор след одита | Включена ли е сесия, на която инженерът обяснява находките на екипа ви? |
| Retest | Включена ли е повторна проверка, че сте поправили намереното? В какъв срок? |
| Срок и прекъсвания | Кога започва, кога завършва, как се избягва прекъсване на продукцията? |
| Поверителност | NDA, как се пазят данните от одита, кой има достъп до доклада? |
Най-подценяваните три реда в тази таблица са разговорът след одита, retest-ът и приоритизираният план. Доклад без тях е просто PDF. Доклад с тях е инструмент, който екипът ви наистина може да изпълни. Когато сравнявате две оферти с близка цена, тази, която включва разговор и retest, почти винаги е по-добрата сделка, дори ако е малко по-скъпа на хартия.
Обърнете внимание и на това дали обхватът е реалистичен спрямо цената. Ако някой ви обещава пълен одит на инфраструктура с 15 сървъра, три облака и пентест на приложение за 3 000 лв., аритметиката не работи. Един опитен инженер струва повече от това само за дните труд. Прекалено ниската цена за широк обхват означава, че нещо ще бъде свито мълчаливо, обикновено дълбочината на ръчната работа.
Съвет за купувача за пръв път: поискайте примерен (anonymized) доклад от предишен клиент. Сериозните доставчици имат такъв готов за показване. Той ви казва повече за стойността, отколкото която и да е оферта: ще видите дали находките са обяснени, дали има доказателства, дали планът за действие е изпълним, или просто има списък с CVE номера без контекст.
Стъпка 4
Петте червени флага, които издават евтина имитация на одит
След като сте видели стотици оферти, започвате да разпознавате имитацията на одит по едни и същи сигнали. Ето петте, които издават, че плащате за автоматичен скан с красиво лого, а не за реален одит. Един от тях не е задължително проблем, но два или повече заедно са ясно предупреждение.
Флаг 1: Цена без дефиниран обхват
"Одит на сигурността - 2 900 лв." без нито един ред какво точно се проверява. Сериозна оферта винаги дефинира предмета. Цена без обхват означава, че обхватът ще се свие до каквото се вмести в цената.
Флаг 2: Нито един час ръчна работа
Ако в методологията няма ръчно тестване, а само "сканиране" и "автоматизиран анализ", купувате лиценз за скенер с надценка. Скенерът е полезен инструмент, но не е одит. Питайте директно: колко човеко-дни ръчна работа влизат?
Флаг 3: Доклад без retest и без разговор
Ако доставчикът предаде PDF и изчезне, не сте купили намаляване на риска, а документ. Реалната стойност е в обяснението на находките и проверката, че корекциите работят. Липсата на retest е сигнал, че доставчикът не държи на резултата.
Флаг 4: Екип без имена, референции и сертификати
"Нашият екип от експерти" без нито едно име, сертификат или референция. Питайте кой конкретно ще работи, какъв опит има и дали можете да говорите с предишен клиент. Сериозните доставчици отговарят с готовност.
Флаг 5: Обещание за "100 на сто сигурност" или "гарантирано минаване"
Никой честен специалист не обещава абсолютна сигурност или гаранция, че ще минете регулаторна проверка (КЗЛД, НИС2 контрол). Сигурността е процес, не състояние. Такова обещание е или незнание, или маркетинг, и в двата случая е червен флаг.
Стъпка 5
Как да четете и сравнявате оферти честно
Когато имате три оферти на масата, изкушението е да подредите по цена и да изберете средната или най-евтината. Това е грешка. Правилният подход е първо да ги нормализирате към един и същ обхват, после да сравните стойност на лев, не абсолютна цена. Ето как.
Първо, изравнете обхвата. Върнете се при тримата доставчици и поискайте оферта за абсолютно същия предмет (същите системи, същата дълбочина, същия резултат). Често след това упражнение трите оферти се сближават драстично, защото евтината е била евтина заради свит обхват. Ако някой откаже да преоферира с ясен обхват, изключете го.
Второ, разберете модела на ценообразуване. Fixed-price (твърда цена) дава предвидимост и е за предпочитане за ясно дефиниран одит. Time and materials (по часове) има смисъл само за неясен или текущ обхват и носи риск от изненади. За еднократен одит настоявайте за fixed-price след scoping. Ако някой дава твърда цена без да е разбрал средата ви, той или ще надцени за застраховка, или ще намали обхвата по-късно.
| Сравнявайте по | Слаба оферта | Силна оферта |
|---|---|---|
| Обхват | "Одит на сигурността", без детайли | Изброени системи, методология, рамка |
| Ръчна работа | Само "сканиране" | Конкретни човеко-дни ръчно тестване |
| Резултат | PDF със списък находки | Доклад + план + разговор + retest |
| Екип | Анонимни "експерти" | Имена, сертификати, референции |
| След одита | Нищо, доставчикът изчезва | Remediation поддръжка или vCISO опция |
Трето, мислете за целия жизнен цикъл, не само за одита. Одитът намира проблемите, но поправянето им струва време и понякога пари. Доставчик, който предлага и поддръжка по внедряването на препоръките или vCISO retainer, ви спестява втория кръг търсене и преговори. За много български компании най-разумният път е еднократен одит, който да установи изходната точка, последван от лек месечен retainer, който държи нещата в ред между годишните проверки.
Стъпка 6
От доклад до реална сигурност: парите, които наистина се връщат
Най-важната истина за цената на одита е, че самият доклад не повишава сигурността ви с нито един процент. Купувате карта, не пътуване. Стойността се отключва едва когато изпълните препоръките. Виждали сме компании, които платиха за отличен одит, прибраха доклада в чекмедже и шест месеца по-късно бяха пробити точно през уязвимостта на първа страница. Платиха за знание и не го използваха.
Затова, когато оценявате цената, мислете за пълния разход до резултат, не само за одита. Типичният път е: одит (намира проблемите), remediation (поправяте ги, вътрешно или с помощ), retest (потвърждава, че са затворени), после лек текущ надзор, който държи нещата в ред. Компания, която гледа само цената на одита и пропуска бюджет за поправянето, харчи пари за карта, която няма да следва.
За повечето български компании от 20 до 150 души най-икономичният модел през 2026 е комбинация: еднократен задълбочен одит, който установява изходната точка и приоритетите, последван от vCISO retainer от няколкостотин до няколко хиляди лева на месец, който осигурява изпълнението, държи политиките живи и подготвя организацията за следващата регулаторна или клиентска проверка. Това струва значително по-малко от вътрешен CISO и многократно по-малко от цената на един успешен пробив или регулаторна глоба.
Практичен начин да планирате бюджета е правилото "една трета към две трети": заделете около една трета за самия одит и две трети за поправянето на това, което той намери. Ако похарчите 10 000 лв. за отличен одит и нямате нито лев за корекциите, реалната ви сигурност не помръдва. Затова при първия разговор с доставчика питайте не само "колко струва одитът", а и "какъв порядък разход да очаквам за типичните корекции след него". Честният отговор на втория въпрос ви казва повече за доставчика, отколкото офертата за първия. Който премълчава, че одитът е само първата трета от пътя, или не разбира пълната картина, или не иска да я знаете.
Сравнение за перспектива: среден инцидент с ransomware за българска компания от около 50 души струва между 80 000 и 300 000 лв. в престой, възстановяване и загубени данни, без да броим репутацията. Глоба по GDPR от КЗЛД може да достигне десетки и стотици хиляди лева. На този фон одит за 8 000 лв. плюс поддръжка не е разход, а най-евтината застраховка, която компанията купува през годината. Въпросът не е дали можете да си позволите одит, а дали можете да си позволите да карате без него.
Често задавани въпроси
Въпросите, които чуваме от купуващите одит за пръв път
Колко струва "одит на сигурността" за малка компания до 30 души?
Зависи изцяло от това какъв одит ви трябва. Фокусиран одит на Microsoft 365 или облачна конфигурация започва от около 2 500 лв. Пентест на едно уеб приложение е 5 000-9 000 лв. GDPR преглед е 3 500-7 000 лв. Ако ви трябва пълна картина (преглед на инфраструктура + основен пентест + препоръки), реалистичният бюджет за малка компания е 7 000-15 000 лв. Първата стъпка винаги е scoping разговор, който определя точно кой одит решава вашия проблем, а не да гоните най-ниската цена сляпо.
Защо една оферта е три пъти по-евтина от другата за същото нещо?
Почти винаги защото не е същото нещо, въпреки еднаквото заглавие. Евтината оферта обикновено е автоматичен скан вместо ръчна работа, или обхватът е тихомълком свит до част от средата ви, или липсват retest и разговор след одита. Изравнете обхвата при тримата доставчици (поискайте оферта за абсолютно същия предмет и дълбочина) и в повечето случаи цените се сближават. Ако някой откаже да преоферира с ясен обхват, това е отговорът.
Каква е разликата между пентест и одит на сигурността?
Пентестът е един конкретен тип одит, който симулира атака срещу определена система (уеб приложение, мрежа), за да намери технически уязвимости. "Одит на сигурността" е по-широк термин, който може да включва пентест, но и преглед на политики, процеси, конфигурации, съответствие (ISO, GDPR, NIS2) и организационни мерки. Накратко: всеки пентест е одит, но не всеки одит е пентест. Регулаторните одити (GDPR, NIS2) обикновено са повече за документация и процеси, отколкото за технически тестове.
Колко често трябва да правя одит?
За повечето компании веднъж годишно е разумна основа, плюс допълнителен одит след голяма промяна (нова голяма функционалност, миграция в облака, сериозен растеж на екипа, придобиване). Регулираните субекти по NIS2 или клиентски договори понякога имат конкретно изискване за периодичност. По-разумният модел от една снимка годишно за много компании е лек месечен надзор (vCISO), който държи нещата в ред непрекъснато, плюс по-задълбочена годишна проверка. Сигурността се руши между одитите, ако никой не я поддържа.
Включен ли е retest в цената, и защо е важен?
В сериозните оферти да, в евтините почти никога. Retest е повторна проверка, че сте поправили намереното, обикновено 2-4 седмици след доклада. Той е важен, защото без него имате само списък с проблеми и никакво доказателство, че рискът реално е намален. Ако клиент или регулатор поиска потвърждение, че уязвимостите са затворени, retest докладът е точно това доказателство. Винаги питайте дали е включен и в какъв срок.
Може ли да получа твърда (fixed-price) цена предварително?
Да, но само след кратък scoping разговор от 20-40 минути, в който доставчикът разбира средата ви (брой и тип системи, технологии, облак, хора, цел на одита). Сериозен доставчик дава твърда цена след това и я спазва. Който дава число по телефона за две минути без да е питал нищо, или ще надцени, за да се застрахова срещу неизвестното, или ще намали обхвата мълчаливо, за да се вмести. Scoping разговорът е безплатен и е добър тест за самия доставчик.
Финансовият директор от Пловдив, с който започнахме, накрая избра не най-евтината и не най-скъпата оферта. Избра тази, която първа го попита какво всъщност се опитва да постигне. Оказа се, че голям клиент изисква доказателство за сигурност за подновяване на договор, а не пълна ISO сертификация. Правилният одит за неговата ситуация беше фокусиран преглед на инфраструктурата плюс пентест на ключовото приложение, около 11 000 лв., последван от лек месечен надзор. Спести над 13 000 лв. спрямо най-скъпата оферта, защото купи точно това, което му трябваше, а не това, което звучеше най-внушително.
Това е поуката за всеки, който купува одит на сигурността за пръв път. Цената варира пет пъти не защото пазарът е хаотичен, а защото под едно име се крият шест различни услуги. Не започвайте с въпроса "колко струва", а с "кой одит решава моя конкретен проблем". Дефинирайте обхвата, изисквайте ръчна работа и retest, проверете кой ще работи, и сравнявайте стойност на лев, не голото число. Тогава цената спира да е загадка и става нормално бизнес решение.
Искате fixed-price оферта с ясен обхват за вашата конкретна ситуация? Свържете се с нас за безплатен scoping разговор или пишете на alexander@atlantsecurity.com. Ще ви кажем честно кой одит ви трябва, дори ако е по-малкият.
Александър Свердлов
Основател на Atlant Security. Автор на 2 книги за информационна сигурност, лектор по киберсигурност на най-големите конференции по киберсигурност в Азия и панелист на конференция на ООН. Бивш член на екипа за консултации по сигурността на Microsoft, външен консултант по киберсигурност в Емиратската корпорация за ядрена енергия.