DORA в България: какво точно изисква регламентът от банки, платежни институции, инвестиционни посредници, застрахователи и CASP по МиКА през 2026 г.

DORA · Български финансов сектор · Май 2026

DORA (Регламент (ЕС) 2022/2554) се прилага директно в България от 17 януари 2025 г. Българските банки, застрахователи, инвестиционни посредници, платежни институции, дружества за електронни пари и крипто-доставчици по МиКА вече са под двойния надзор на БНБ или КФН плюс изискванията на DORA. Това е практическият преглед на какво точно изисква регламентът, кой какво очаква от вас и как изглежда реалистична готовност за финансова институция в България през 2026 г.

Най-важното накратко

• DORA не е директива, а регламент с пряко действие, тоест не чака транспониране в български закон. Прилага се от 17 януари 2025 г. към над 22 категории финансови субекти.
• В България двата компетентни органа са БНБ (банки, платежни и електронни пари, регистър по МиКА за крипто) и КФН (застрахователи, инвестиционни посредници, фондове, пенсионни дружества).
• Регламентът се организира около пет стълба: управление на ИКТ риска, докладване на инциденти, тестване на дигиталната устойчивост (включително TLPT), управление на ИКТ доставчиците (с задължителни клаузи по чл. 30), и оперативен надзор на критичните ИКТ доставчици.
• Срокове за докладване: 4 часа от класификация за първоначално уведомление, 72 часа за междинен доклад, 1 месец за окончателен. Часовникът тръгва от момента, в който инцидентът е класифициран като значителен по RTS критериите.
• Глобите следват националния режим - в България са по Закона за БНБ, Закона за КИО и КЗ. Лична отговорност на ръководството по Търговския закон и секторните закони остава отделен слой над фирмената санкция.
• Реалистична първа година за средно голяма българска платежна институция или инвестиционен посредник: 180 000 - 480 000 лв за пълна готовност, включително регистър на договорни споразумения, политика за управление на ИКТ риска, тест на устойчивостта и доказателствено досие.

DORA (Digital Operational Resilience Act, Регламент (ЕС) 2022/2554 на Европейския парламент и на Съвета) е първият единен европейски режим за дигитална оперативна устойчивост на финансовия сектор. Целта на регламента е да консолидира фрагментираните досега национални правила за киберсигурност и ИКТ риск във финансовия сектор в един общ стандарт, валиден от Лисабон до София. Влязъл в сила на 16 януари 2023 г., регламентът се прилага директно от 17 януари 2025 г., без необходимост от транспониране в български закон.

Обхватът на DORA е широк и засяга над 22 категории финансови субекти. За българския пазар най-важните са следните:

Има облекчен режим за микропредприятия (под 10 души и под 2 млн. евро баланс/оборот) - за тях задълженията по чл. 16 са пропорционални. Малки и не взаимосвързани инвестиционни посредници също имат облекчен профил по чл. 16. За всички останали се прилага пълният режим без редукция.

Важна правна особеност, която не всички български субекти осмислят веднага: DORA е lex specialis. В случай на застъпване с други регламенти (NIS2, GDPR, MiCA, PSD2, EBA Guidelines on ICT and security risk management), DORA има приоритет за финансовия сектор. На практика това означава, че финансова институция в България, която вече е изпълнявала задължения по EBA/EIOPA насоки за ИКТ риска, в голяма степен вече покрива DORA, но трябва да обнови документацията си към новата терминология и към допълнителните изисквания, които DORA внася (например регистъра на договорните споразумения и режима за TLPT).

DORA се организира около пет стълба, които заедно покриват целия жизнен цикъл на ИКТ риска във финансова институция. Полезно е да се запомнят като структура, защото и БНБ, и КФН структурират проверките си по същия начин.

Регистърът по чл. 28 ал. 3 е документът, който БНБ и КФН искат първи при проверка. Не е счетоводен опис на доставчиците. Той е структуриран файл по образец на Регламент за изпълнение (ЕС) 2024/2956, който трябва да обхваща всеки ИКТ договор - от ентърпрайз cloud до 12-евровия SaaS, който вашият юрист използва за подпис на договори.

Стандартният образец изисква данни за всяко договорно споразумение в около 14 категории и в три нива: финансовият субект (вие), договорното споразумение, и доставчикът. На ниво договор се записват: тип услуга (с конкретен код от списъка), функция, която поддържа, дали поддържа „критична или важна функция", дата на влизане в сила, дата на изтичане, бюджет, локация на данните, sub-outsourcing верига, дата на последна оценка на риска. Първоначалното подаване е до 30 април 2025 г.; следващите - годишно. Подаването става през специален електронен канал на БНБ/КФН.

Клаузите по чл. 30 са вторият документ, с който започва вашата DORA готовност. Те се делят на два пакета: базови клаузи (за всички ИКТ договори) и засилени клаузи (само за договори, поддържащи критични или важни функции). Базовият пакет покрива описание на услугата, локация на данните, разпоредби за защита на данните, гарантирани нива на услуга (SLA), процедури за уведомяване при инцидент, право на терминиране в определени случаи, и достъп до информация при проверка от регулатор. Засиленият пакет добавя пълно право на одит (включително на място), exit стратегия с план за миграция и тест, ограничения на sub-outsourcing на критични функции, изискване за участие на доставчика в тестване на устойчивостта.

Практически съвет, който спестява много преговори: не започвайте от вашия типов договор. Започнете от стандартизирани шаблони, които EBA, EIOPA и националните браншови асоциации разработиха за DORA. Голяма част от cloud доставчиците (AWS, Microsoft Azure, Google Cloud, Salesforce) вече имат „DORA addendum" - анекс, който поправя стандартния SaaS договор за финансовия сектор. Подписването на този анекс е по-бързо и евтино от пълно предоговаряне.

Сроковете за докладване по DORA са по-кратки и по-точни от това, с което повечето български институции бяха свикнали. Има три отделни доклада, които текат паралелно, и един четвърти срок, който се отнася до значителни кибер заплахи без реализиран инцидент.

Критериите за „значителен" инцидент са изброени в Делегиран регламент (ЕС) 2024/1772 и текат по два прага. Първичен праг: ако инцидентът засяга поне един от показателите - влияние върху критични услуги, репутационна щета, продължителност и downtime, географски обхват, обем на изгубени данни, икономическа загуба - над определени стойности. Втори праг: ако едновременно са изпълнени поне два от показателите засегнати клиенти, репутация, и продължителност и downtime. И двата прага задействат пълния режим на трите доклада.

Една практическа особеност в българския контекст: ако инцидентът има едновременно киберсигурностен и личноданни характер, се задействат паралелно сроковете на DORA (към БНБ или КФН), на NIS2 (към МЕУ-CSIRT, ако сте също в обхвата на ЗКС), и на GDPR (към КЗЛД, 72 часа). Три различни регулатора, три различни срока, три различни доклада. Това трябва да е репетирано на настолно учение, а не да се мисли в реално време в час 3 от инцидента.

Тестването по DORA има два слоя: общо тестване на дигиталната оперативна устойчивост (приложимо за всички финансови субекти, пропорционално на размера и сложността) и Threat-Led Penetration Testing - TLPT - приложимо само за по-голям подмножество, определено от компетентния орган.

Общата програма за тестване по чл. 25 изисква годишен план, който покрива минимум следните области: уязвимостни оценки и сканирания, тестове на мрежовата сигурност, анализ на отворен код за критични приложения, source-code преглед, тестване на физическата сигурност, performance тестове, тестване на инструментите за откриване (SIEM, EDR), end-to-end тестове на BCP и DRP. За критични приложения - годишен пълен пентест. Тестванията се документират, констатациите се възлагат в регистър за отстраняване, а напредъкът се докладва на УС.

TLPT по чл. 26-27 е по-различно нещо. Това е напреднало тестване по сценарии, водено от реална заплахителна разузнавателна информация (threat intelligence), извършвано от външен тийм, при което собствените сини защитници не са предварително уведомени. Методологията следва TIBER-EU (Threat Intelligence-based Ethical Red Teaming framework) на ЕЦБ, която в България се прилага под надзора на БНБ за банките и КФН за капиталовите участници. Първата фаза - подготвителна - отнема около 3-4 месеца, активното тестване около 3 месеца, заключителната фаза с red-team report и remediation план още 2-3 месеца. Цикълът се повтаря веднъж на 3 години.

Кой е длъжен да прави TLPT в България? Не всеки финансов субект. Критериите по чл. 24 ал. 3 и съответната делегирана регламентация (ЕС) 2024/1774 идентифицират финансовите субекти със системно значение, важност за единния пазар, и значителни ИКТ зависимости. Практически за българския пазар това означава: четирите най-големи системно значими банки, основните доставчици на платежни системи (БИСЕРА, БОРИКА), потенциално най-големите застрахователи и инвестиционни посредници. БНБ и КФН ще нотифицират индивидуално кои са в обхвата на TLPT - не се самозаявявате.

Ако сте средна по размер българска финансова институция, която все още не е достигнала пълна готовност по DORA, следният 90-дневен план дава защитима позиция за следваща проверка на БНБ или КФН. Не е „пълно съответствие" - няма такова нещо за 90 дни, ако сте започнали от нула - но е позиция, в която регулаторът ще види реален напредък и кохерентна програма.

Реалистична цена за тази 90-дневна работа в средно голяма българска финансова институция (50-150 души, един основен лиценз): 180 000 - 480 000 лв. Разпределение: външен консултант 60-130 хил., правен преглед на договори 25-55 хил., уязвимостна оценка и пентест 20-50 хил., адаптация на политики 10-25 хил., вътрешно време (CISO, юрисконсулт, ИТ, риск мениджмънт, представител на УС) 40-100 хил. лв., обучения 8-25 хил. лв., тестване на BCP/DRP 15-50 хил. лв., софтуер за регистър и доказателствено досие 5-20 хил. лв. първа година. Цените се качват, ако сте в обхвата на TLPT.

Как Atlant Security помага

DORA готовност за български финансови институции

Преведохме българска банка, две платежни институции, един инвестиционен посредник и един застраховател през DORA готовност в последните 14 месеца. Знаем какви точно полета търси БНБ в регистъра на договорните споразумения, кой раздел на чл. 30 анекса остава с тежки преговори и кой се подписва за един следобед, и какво очаква CERT-FS на БНБ от формата на първоначалното уведомление.

• Регистър по образеца на Регламент (ЕС) 2024/2956, готов за подаване
• Адаптация на политики и договори с шаблони за български контекст
• vCISO функция, която отговаря на изискването за контролна разделеност
• Тестване и доказателствено досие за следваща проверка
• Реален опит с БНБ и КФН надзорна комуникация

Поискайте 30-минутна консултация →

Платежната институция, с която започнахме материала, подаде регистъра на договорните споразумения в работния ден преди крайния срок. Получи официално потвърждение от надзорната служба, без бележки. Политиката за управление на ИКТ риска беше одобрена от УС на следващото редовно заседание. Институцията не е „напълно DORA-compliant" - няма такова състояние - но има защитима, документирана и поддържана програма. Това е, което регулаторът търси.

DORA не е еднократен проект. Това е оперативна функция, която трябва да живее. Регистърът се обновява, договорите се преглеждат, инцидентите се класифицират, тестванията се извършват по график, доказателствата се натрупват в досие. Институциите, които третират DORA като проект, го завършват, и после спират, ще се сблъскат с реалността при следващата проверка.

Имате нужда от практическа помощ за DORA готовност в българския финансов сектор? Поискайте 30-минутна консултация или пишете на alexander@atlantsecurity.com.