DORA срещу NIS2 за български FinTech: коя регулация ви засяга и как се избягва двойната работа
Alexander Sverdlov
Анализатор по сигурността
Най-важното накратко
- DORA (Регламент (ЕС) 2022/2554) е lex specialis за финансовите субекти по своя обхват. Това означава, че там, където DORA урежда даден въпрос (ИКТ риск, инцидентно докладване, тестване, доставчици), DORA се прилага вместо НИС2 и съответно вместо Закона за киберсигурност (ЗКС). Член 1, ал. 2 от Директивата за НИС2 и съображение 13 от DORA го казват изрично.
- Това НЕ означава, че NIS2/ЗКС не се прилага изобщо. Прилага се за въпроси извън обхвата на DORA (например конкретни задължения по физическа сигурност на критична инфраструктура, специфични сектори на групата при холдинг с нефинансови дъщерни дружества) и за финансови субекти, които остават извън обхвата на DORA по член 2 (микро- и малки доставчици на определени услуги).
- За типичен български FinTech субект (платежна институция, дружество за електронни пари, инвестиционен посредник, доставчик на крипто-активи по MiCA, застрахователен брокер) DORA е основният режим. Регистрацията по ЗКС обикновено отпада или се свежда до уведомление, че субектът е обхванат от DORA, и компетентният орган е БНБ или КФН, а не ОЕЦ.
- Грешката, която струва скъпо: едновременна изграждане на два паралелни режима за съответствие (един за DORA с БНБ и един за ЗКС с ОЕЦ), което удвоява разходите без да добавя реална защита. Реален разход за дублирани усилия в средно-голям български FinTech: 180 000 до 380 000 лв. за първите 18 месеца.
- Има шест категории дейности, в които DORA и ЗКС изглеждат припокриващи се, но всъщност имат различни изисквания. Трябва да знаете точно кое към кого се отнася: 1) ИКТ риск управление, 2) инцидентно докладване, 3) тестване, 4) договори с ИКТ доставчици, 5) управленско отговаряне, 6) регистър на ИКТ доставчиците. Матрицата по-долу показва кое към кого.
- Срокът за съответствие с DORA е приключил: регламентът е в сила от 17 януари 2025 г. Първият цикъл на регулаторни проверки в България започна през 2026 г. Срокът за съответствие със ЗКС/НИС2 за първоначална регистрация: 1 юни 2026 г. Двата срока са в най-близка хронологична близост и затова грешките в избора на режим се проявяват именно сега.
Преди две седмици основателят на 38-човешки български FinTech (платежна институция с лиценз от БНБ от 2023 г., оборот около 14 млн. лв.) ни се обади след вътрешна среща, на която юристът, ИТ директорът и финансовият директор бяха стигнали до различни заключения за това какво следва. На бюрото имаше две писма. Едното от БНБ с искане за официален план за съответствие с DORA, очакван до 30 юли. Другото от ОЕЦ с искане за регистрация в Националния регистър по Закона за киберсигурност в срок до 1 юни като „съществен субект" в сектор „финанси". И два различни консултанта с две различни оферти: 220 000 лв. за DORA програма и още 85 000 лв. за ЗКС програма. Общо 305 000 лв. за 18 месеца.
Въпросът беше прост: трябва ли наистина да правим и двете програми, или има начин да изпълним и двете задължения с един набор от контроли? Кратък отговор: с един набор от контроли, но с правилно структурирана документация и нотификации към двата компетентни органа. Дългият отговор е този материал. Реалният разход за вашия пример (38 души, платежна институция) при правилно структуриране на едно програма: между 145 000 и 195 000 лв. за същия 18-месечен период, или икономия от около 110 000 до 160 000 лв. спрямо двойната програма.
След много подобни разговори с български FinTech субекти в последните 9 месеца, написваме този материал. Той е насочен към основатели, изпълнителни директори, CFO и юристи на български FinTech компании, които искат да разберат: коя регулация се прилага реално, как се избягва дублирана работа, и кои са трите-четири конкретни нотификации, които трябва да направите към БНБ/КФН/ОЕЦ за да затворите въпроса правно.
Ще покрием: точния обхват на DORA и точния обхват на ЗКС за финансови субекти, lex specialis принципа в практически план, матрицата на припокриването по шест ключови области, дървото на решенията по тип FinTech, истинската цена на правилно интегрирана програма, и петте чести грешки, които превръщат една регулация в две.
Раздел 1
Кой попада в обхвата на DORA: списъкът, който трябва да знаете наизуст
Член 2, ал. 1 на DORA дава изричен списък от 21 категории финансови субекти, които попадат в обхвата. За българския FinTech екосистема следните категории са най-релевантни:
| Тип субект | Български лиценз | Компетентен орган | DORA в сила |
|---|---|---|---|
| Кредитни институции (банки) | ЗКИ лиценз от БНБ | БНБ | Да, пълно |
| Платежни институции | ЗПУПС лиценз от БНБ | БНБ | Да, пълно |
| Дружества за електронни пари | ЗПУПС лиценз от БНБ | БНБ | Да, пълно |
| Инвестиционни посредници | ЗПФИ лиценз от КФН | КФН | Да, пълно |
| Управляващи дружества (UCITS / AIFM) | ЗДКИСУПС / ЗДКИСУ от КФН | КФН | Да, пълно |
| Застрахователи и презастрахователи | КЗ лиценз от КФН | КФН | Да, пълно |
| Застрахователни брокери и агенти | Регистрация в КФН | КФН | Частично (праг) |
| Доставчици на услуги за крипто-активи (CASP) | MiCA лиценз от КФН | КФН | Да, пълно |
| Доставчици на услуги по краудфъндинг | Регулация (ЕС) 2020/1503 | КФН | Да, пълно |
| Пенсионни фондове (стълб 2 и 3) | КСО лиценз от КФН | КФН | Да, пълно |
Член 2, ал. 3 въвежда изключения за микро- и малки субекти в определени категории, но изключенията са тесни. Платежна институция с под 10 души и под 2 млн. евро активи може да изпадне в облекчен режим. На практика никой български платежен FinTech, който е стигнал до лиценз, не е под този праг.
Един важен нюанс: ако вашият FinTech още няма пълен лиценз от БНБ или КФН (например работите като агент на платежна институция или сте в процес на кандидатстване), вие не сте „финансов субект" по DORA, и обхватът се решава от ЗКС и НИС2. В момента, в който получите лиценза, вие превключвате режим. Това превключване трябва да бъде планирано предварително, защото DORA има по-високи изисквания.
Чести грешка в самоопределянето
Срещали сме два специфични случая на грешка. Първи: български стартъп предлага BaaS (Banking-as-a-Service) интеграция към партньорска банка от ЕС и не държи собствен лиценз. Той не е финансов субект по DORA, но е ИКТ доставчик на финансов субект, което го прави обект на изискванията по чл. 28-30 чрез договора с банката. Втори: български инвестиционен посредник с лиценз и допълнителна дейност като технологичен доставчик към други ИП. Той е финансов субект и за двата режима, но като технологичен доставчик може да попадне допълнително в категорията „критичен ИКТ доставчик" по чл. 31. Тези нюанси преобръщат целия план за съответствие.
Раздел 2
Обхват на НИС2 и ЗКС: защо изглежда, че се прилага и към вас
Директивата НИС2 (Регламент (ЕС) 2022/2555) изброява в приложение I като „съществен субект" в сектор „банкиране" - кредитните институции, и в сектор „инфраструктури на финансовия пазар" - „операторите на места за търговия" и „централните контрагенти". Българският Закон за киберсигурност (ЗКС, в сила от 1 юли 2025 г.) транспонира тези категории и добавя националното изискване за регистрация в Националния регистър на съществените и важните субекти, поддържан от ОЕЦ, в срок до 1 юни 2026 г.
На пръв поглед всеки FinTech, който е „банка" или „инвестиционен посредник на места за търговия", попада едновременно в обхвата на DORA и в обхвата на ЗКС/НИС2. Това би било двойно регулиране, ако нямаше изричната lex specialis клауза.
На практика това означава, че финансов субект, обхванат от DORA, изпълнява задълженията си по чл. 21 (Технически и организационни мерки) от НИС2 чрез изпълнение на DORA. Не подава отделна документация за ИКТ управление пред ОЕЦ. Не подава отделен инцидентен доклад пред националния CSIRT, ако вече е подал такъв доклад на БНБ или КФН по DORA. Не изпълнява две паралелни системи за управление на доставчици.
Но има едно изискване, което не отпада: регистрацията в Националния регистър на ОЕЦ. То е информационно (националното законодателство иска да знае, че финансовият субект съществува и че е под надзора на БНБ или КФН) и се прави с минимална форма, в която субектът декларира, че попада в обхвата на DORA и че компетентният му орган е БНБ или КФН. Срокът остава 1 юни 2026 г.
Раздел 3
Матрица на припокриването по шест ключови области
След като принципът lex specialis е ясен, остава операционният въпрос: за всеки конкретен контрол (например инцидентно докладване), кой режим какво иска, и как изграждам процедура, която задоволява и двата? Това е матрицата, която използваме в нашите ангажименти.
| Контрол | DORA изисква | ЗКС изисква | Реално |
|---|---|---|---|
| ИКТ риск рамка | Чл. 5-15 пълна рамка | Чл. 21 минимални мерки | DORA рамката задоволява и двете |
| Инцидентно докладване | Първи доклад в 4ч (БНБ/КФН), междинен в 72ч, финален в 1м | Първи доклад в 24ч (ОЕЦ), 72ч развитие, 1м финален | DORA срокове са по-кратки и задоволяват ЗКС автоматично |
| Тестване на устойчивост | Чл. 24-27, годишен + TLPT на 3 г. | Чл. 21, ал. 2 т. 2: оценка на риска | DORA тестване задоволява ЗКС оценката |
| Регистър на ИКТ доставчици | Чл. 28, специфичен формат, годишно подаване към ЕБО | Чл. 24 ЗКС, без подаване | DORA регистърът е достатъчен |
| Договори с доставчици | Чл. 30 - 12 задължителни клаузи | Чл. 21, ал. 2 т. 5: обикновени клаузи | DORA клаузите са по-разширени |
| Управленско отговаряне | Чл. 5, ал. 2: УС утвърждава ИКТ риск рамката, член на УС отговаря | Чл. 21, ал. 6 ЗКС: лична отговорност на ръководството | И двете изискват, и двата санкционни режима се прилагат |
| Регистрация в национален регистър | Не изисква | Изисква до 1 юни 2026 г. | Регистрирате се в ОЕЦ с уточнение, че сте под DORA |
| Обучение на персонал | Чл. 13, ал. 6 | Чл. 21, ал. 2 т. 6 | Една програма за обучение покрива и двете |
Правилото на едната рамка с двойна нотификация
Изграждате един набор от контроли по DORA рамката (която е по-разширена) и поддържате две точки за нотификация: към БНБ или КФН за всичко по DORA и към ОЕЦ за регистрацията плюс уведомления за определени национални координационни събития. Документите се изграждат веднъж в DORA формат и се поставят референции в декларацията за ЗКС регистрация. При инцидент се подава доклад в DORA срокове и формат към компетентния орган, а след това същият доклад се препраща информативно към ОЕЦ.
Раздел 4
Дърво на решенията по тип български FinTech
Различните FinTech архетипи имат различен правен статус и съответно различен режим. Тази дървовидна логика покрива над 90 процента от случаите, които виждаме.
Има три специални случая, в които дървото на решенията не дава пълен отговор и трябва индивидуален правен анализ. Първи: холдингова структура, в която финансовият субект е едно от няколко дъщерни дружества, а другите дъщерни (например технологична фирма или маркетингов оператор) попадат самостоятелно в обхвата на ЗКС. Втори: ИКТ доставчик, който едновременно е финансов субект и доставчик на критични услуги към други финансови субекти, при което се преплитат задължения по чл. 28 (като доставчик) и по цялата DORA рамка (като субект). Трети: трансгранична структура, при която българското лице е дъщерно дружество на ЕС финансов субект, и значителна част от ИКТ функцията е изнесена към групата.
Раздел 5
Реална цена: интегриран режим спрямо дублирана работа
Това е таблицата, която изпращаме на финансовите директори при следващата им бюджетна среща. Цифрите са от 11 ангажимента с български FinTech субекти през последните 14 месеца. Размерът на компанията променя цифрите значително; включваме три типични профила.
| Профил | Дублирана програма (лв.) | Интегрирана програма (лв.) | Икономия |
|---|---|---|---|
| Малък ПИ / ЕМИ (15-30 души) | 180 000 - 240 000 | 95 000 - 130 000 | 85 000 - 110 000 |
| Среден FinTech / ИП (30-80 души) | 280 000 - 420 000 | 150 000 - 220 000 | 130 000 - 200 000 |
| Голям ИП / CASP (80-200 души) | 480 000 - 720 000 | 260 000 - 380 000 | 220 000 - 340 000 |
Числата за дублираната програма не са хипотетични. Получихме ги от три различни компании, които вече бяха започнали по този начин и след това обърнаха курса. Едно от тях беше платило 87 000 лв. за GAP анализ по ЗКС, който след това стана негоден за нищо, защото компанията премина изцяло на DORA рамката.
Раздел 6
Петте грешки, които правят регулациите ненужно скъпи
Грешка 1. Изграждане на два паралелни режима
Класически пример от началото на материала. Юристът чете ЗКС, ИТ директорът чете DORA, никой не познава lex specialis. Два паралелни консултанта, два паралелни плана. Реален разход: 110 000 - 200 000 лв. дублирана работа за първите 18 месеца.
Грешка 2. Пропускане на регистрация в ОЕЦ под допускане, че DORA „поглъща всичко"
DORA отстъпва националното задължение за регистрация. То остава в сила. Финансов субект, който пропусне 1 юни 2026 г., е изложен на санкция по ЗКС независимо от това, че DORA-съответствието е безупречно. Минималната форма за регистрация е 30-минутна задача.
Грешка 3. Прилагане на ЗКС срокове за инцидент вместо DORA срокове
ЗКС иска 24-часов първи доклад. DORA иска 4-часов първи доклад за класифицирани инциденти. Ако финансов субект прилага само ЗКС срокове, той автоматично е в нарушение на DORA при всеки сериозен инцидент. Това е грешка, която се вижда в първата проверка.
Грешка 4. Договори с ИКТ доставчици без 12-те клаузи по чл. 30 DORA
ЗКС иска „договорни мерки за информационна сигурност" в общи рамки. DORA изброява 12 конкретни клаузи. Договор, който задоволява ЗКС, рядко задоволява DORA. Финансовите субекти, които започват с ЗКС-съответствие, после трябва да преподписват всички договори за ИКТ услуги.
Грешка 5. Игнориране на лична отговорност на УС
И DORA (чл. 5, ал. 2), и ЗКС (чл. 21, ал. 6) изричат лична отговорност на ръководството. Това е една от малкото области, в които двата режима се прилагат кумулативно, а не алтернативно. Член на УС, който не познава ИКТ риск рамката на своя FinTech, е лично изложен на санкции по двата режима. Пример за решение: годишен 4-часов брифинг от CISO към УС с протокол.
Често задавани въпроси
FAQ
Ние сме платежна институция, но получихме писмо от ОЕЦ. Какво да отговорим?
Регистрирате се в Националния регистър с декларация, че субектът попада в обхвата на DORA и компетентният орган е БНБ. Това е изричен случай, който ЗКС и подзаконовите правила предвиждат. Регистрацията не Ви прави задължен по чл. 21 ЗКС, защото DORA рамката е lex specialis. Уведомете и БНБ, че сте получили писмото от ОЕЦ за пълна прозрачност.
Ние сме холдинг с банка и нефинансово дъщерно дружество. Двете трябва ли различни режими?
Да. Банката прилага DORA. Нефинансовото дъщерно дружество прилага ЗКС/НИС2 (ако попада в обхвата), което означава, че може да бъде „съществен" или „важен" субект в други сектори по приложение I или II на НИС2. Холдингът трябва да поддържа две различни рамки за съответствие, но може да централизира общи функции (SOC, CSIRT) с правилно структурирани вътрешногрупови договори.
Може ли един и същ CISO да отговаря и за DORA, и за ЗКС?
Да, и това е препоръчителната конфигурация. Един отговорник, една рамка, две точки за нотификация. Важно е CISO-то да познава и двете регулации поне на оперативно ниво. Ако имате назначен само на ЗКС-фокусиран CISO, той трябва да премине обучение по DORA през първото тримесечие или ще пропуска изисквания.
Получаваме ИКТ услуги от компания в Литва. Как се регулира това?
Като ИКТ доставчик на финансов субект по чл. 28-30 DORA. Договорът трябва да съдържа 12-те задължителни клаузи (включително одитни права, изход на услугата, локация на данните, инцидентно докладване в DORA срокове, информационна сигурност, под-доставчици). Литовската фирма не е лично задължена по DORA, освен ако ЕНО не я класифицира като „критичен ИКТ доставчик" по чл. 31. Но Вашите договорни задължения към нея са същите.
Какво се случва, ако пропуснем 1 юни 2026 г. за регистрацията в ОЕЦ?
Член 76 ЗКС предвижда санкции за неизпълнение на задължения по закона, включително за пропуснати регистрационни срокове. На практика ОЕЦ дава първоначално 14-дневен срок за коригиране при първо нарушение, преди да издаде АУАН. Не разчитайте на това. Регистрацията е 30-минутна задача и трябва да бъде завършена до 1 юни 2026 г. независимо от DORA-съответствието.
Имаме SOC 2 Type 2. Покрива ли тя изискванията на DORA или ЗКС?
Частично. SOC 2 покрива около 55 - 65 процента от ИКТ контролите по DORA рамката (главно сигурност, наличност, поверителност). Не покрива специфични DORA изисквания: 12-те договорни клаузи с ИКТ доставчици, регистъра на ИКТ доставчиците, инцидентното докладване в DORA срокове, тригодишния тестов цикъл с TLPT (ако сте задължени), и управленското отговаряне на УС. SOC 2 е добра основа, но не е достатъчна. Един от случаите, в които сме виждали SOC 2 програма, превърната в DORA-готовност, отне 7 - 9 месеца допълнителна работа.
Имате нужда от чисти отговори
Един разговор може да Ви спести 100 000 лв. дублирана работа
Работим с български FinTech субекти от 2018 г. Ще прегледаме безплатно две неща: статуса Ви по DORA и оферта от консултант (наша или чужда) срещу матрицата по-горе. Без презентации, без upsell.
Резервирайте 30-минутна консултация
Александър Свердлов
Основател на Atlant Security. Автор на 2 книги за информационна сигурност, лектор по киберсигурност на най-големите конференции по киберсигурност в Азия и панелист на конференция на ООН. Бивш член на екипа за консултации по сигурността на Microsoft, външен консултант по киберсигурност в Емиратската корпорация за ядрена енергия.