Назад към блога
Регулации17 мин четене

Глоби по новия Закон за киберсигурност и личната отговорност на ръководството: 20 млн. лв., 2% от оборота и забрана за управление

A

Alexander Sverdlov

Анализатор по сигурността

10.05.2026 г.
Глоби по новия Закон за киберсигурност и личната отговорност на ръководството: 20 млн. лв., 2% от оборота и забрана за управление

Закон за киберсигурност · Глоби и отговорност · Май 2026

Глоби по новия Закон за киберсигурност и личната отговорност на ръководството: до 20 милиона лева, 2% от оборота и забрана за управление

Българското транспониране на NIS2 въвежда най-високите административни глоби в българското право извън конкуренцията: до 20 млн. лв. или 2% от световния оборот за съществените субекти. По-важно: за първи път законът предвижда лична отговорност на изпълнителните директори и членовете на управителните органи - до 100 000 лв. глоба и временна забрана за заемане на ръководни длъжности. Това е практическо ръководство за това какви са глобите, при какви нарушения се налагат, и как ръководителите могат да защитят себе си и компанията.

Най-важното накратко

  • Максималната глоба за съществени субекти (essential entities) е до 20 000 000 лв. или 2% от световния годишен оборот, в зависимост от това коя сума е по-голяма. Прилага се по-високата.
  • За важни субекти (important entities) таванът е 14 000 000 лв. или 1.4% от оборота. По-нисък, но все пак значителен.
  • За първи път в българското право се въвежда лична административна отговорност на ръководителите: до 100 000 лв. глоба и възможност за временна забрана за заемане на ръководни длъжности при тежки или повторни нарушения.
  • Глобите се налагат от специализирана надзорна структура (ДАНС, КЗЛД и секторни регулатори в зависимост от типа субект) с прилагане на чл. 32 - 34 от Регламента за административно-наказателно производство.
  • Най-чести нарушения, водещи до глоба: липса на докладване на инцидент в 24 часа, липса на регистрация в съответния орган, неимплементиране на 13-те минимални мерки, отказ за съдействие при проверка.
  • Защитата на ръководството изисква документирано due diligence: одобрена от управителния съвет политика за киберсигурност, доказано обучение, протоколни решения за инвестиции, и работещ процес за ескалация на инциденти.

През април на този разговор присъствах с изпълнителния директор на средно голяма верига аптеки в Пловдив. Седемдесет и три обекта в страната, около четиристотин служители, оборот близо 95 млн. лв. Юристът на дружеството току-що му беше обяснил, че по новия Закон за киберсигурност са важен субект, защото попадат в Анекс 2 (доставка на критични фармацевтични продукти). Първият въпрос на изпълнителния директор беше прост и неудобен: „Ако нещо се случи и не сме готови, аз лично нося ли отговорност?".

Отговорът беше „да". И това го изненада. По досегашната практика в България санкциите за корпоративни нарушения почти винаги се налагаха на дружеството, не на физическо лице. Глобата на компания от 50 хил. лв. за нарушение на ЗЗЛД, дори да беше неприятна, никога не достигаше до сметката на изпълнителния директор. Новият Закон за киберсигурност променя това правило за целия кръг на висшия мениджмънт.

Тази публикация разглежда как точно работи новият режим на санкциите. Каква е скалата на глобите за дружеството - в зависимост от категорията субект и тежестта на нарушението. При какви обстоятелства идва на дневен ред личната отговорност на ръководителите, и какъв вид доказателства са нужни за защита. Кои са най-честите грешки, които превръщат техническа неподготвеност в наказателна процедура. И в края - три реални сценария за български компании от различни сектори, с числа.

Една забележка преди да продължим. Глобите по този закон са тавани, не задължителни ставки. Реалната глоба зависи от тежестта на нарушението, поведението на дружеството по време на проверката, наличието на повторност, размера на дружеството, и щетите, които нарушението е причинило. В практиката си виждаме, че при първо нарушение и активно сътрудничество с надзорния орган реално наложените суми обикновено са в долната третина на скалата. При системни нарушения и липса на сътрудничество - в горната.

💰

Стъпка 1

Скалата на глобите по категория субект

Законът въвежда двустепенна скала, която отговаря на двете категории субекти - съществени и важни. Скалата е изградена по принципа „по-високата от двете", какъвто познаваме от GDPR. Това означава, че за големи дружества с високи обороти процентната ставка може да даде глоба значително над абсолютната граница в лева.

Максимални глоби по Закона за киберсигурност Максимални глоби - двустепенна скала Прилага се по-високата от абсолютната сума или процентната ставка Съществени субекти essential entities - Анекс 1 до 20 000 000 лв. или 2% от оборота от световния годишен оборот, по-високата Важни субекти important entities - Анекс 1 или 2 до 14 000 000 лв. или 1.4% от оборота от световния годишен оборот, по-високата Допълнителни санкции (и за двете категории): - Лична глоба на ръководителите: до 100 000 лв. - Временна забрана за заемане на ръководни длъжности при системни нарушения - Принудителни административни мерки: задължителни корективни действия, временна спирация - Публикуване на наложената санкция (в практиката - сериозен репутационен ефект) Световният оборот се изчислява на консолидирана база, включително оборот на свързани лица.
Фигура 1. Скалата на максималните санкции. Реално наложените глоби в практиката са в долната третина при първо нарушение и сътрудничество.

Заслужава си да направим няколко практически уточнения. Първо, „по-високата от двете" означава, че за компания с оборот 2 милиарда лева (например голяма банка или енергиен оператор), процентната ставка от 2% дава теоретичен таван на 40 млн. лв. - двойно над абсолютната граница. Това е изрично решение на европейския законодател да направи глобите чувствителни за големите играчи.

Второ, оборотът се изчислява на консолидирана база. Ако българско дъщерно дружество е част от международна група, оборотът на цялата група влиза в калкулацията. Това е особено важно за местните клонове на чуждестранни компании, където контактуващото лице с надзорния орган е местното дружество, но експозицията на санкции се определя от групата.

Трето, в практиката надзорните органи прилагат принципи на пропорционалност, изрично залегнали в Регламента за административно-наказателно производство. Това означава, че реално наложените глоби се определят с оглед на тежестта, продължителността, умишления или непредпазлив характер на нарушението, размера на дружеството, дали е наличен преминал криминален или административен запис, степента на сътрудничество и финансовата изгода от нарушението. Обикновено първите наложени глоби в нов регулаторен режим са в долната половина на скалата - надзорните органи изграждат практика и не започват с максимуми.

Стъпка 2

Кои нарушения водят до глоба и в какъв размер

Не всички нарушения са еднакви, а законът ги категоризира на три нива според тежестта. Маловажни (формални пропуски), значими (неимплементиране на конкретни задължения) и тежки (създаване на риск за критична инфраструктура или системно неизпълнение). Глобата за тежко нарушение в съществен субект може да достигне максимума; за маловажно - често се ограничава до предупреждение или предписание.

Нарушение Тежест Очакван размер
Липса на регистрация в надзорния органЗначимо5 000 - 50 000 лв.
Пропуск на 24-часовото уведомление за инцидентТежко100 000 - 500 000 лв.
Пропуск на 72-часовия и финален докладТежко200 000 - 1 000 000 лв.
Неимплементиране на 13-те минимални меркиЗначимо до тежко50 000 - 5 000 000 лв.
Липса на одобрена политика на ниво управителен органЗначимо20 000 - 200 000 лв.
Възпрепятстване на проверкаТежко500 000 - 3 000 000 лв.
Невярна информация в уведомлениеТежко300 000 - 2 000 000 лв.
Системно неизпълнение след предписаниеТежко (до максимум)2 000 000 - 20 000 000 лв.

Числата по-горе са очаквания от практиката, не законова скала. Реалното решение се взима от надзорния орган с мотивиран акт. Това, което е сигурно, са рамковите тавани и категориите тежест. По правило първо нарушение от добросъвестен субект, който сътрудничи и веднага коригира, се санкционира в долния край. Системно нарушение от субект, който отказва съдействие и крие информация, се санкционира в горния.

Едно често срещано недоразумение е, че липсата на докладване на инцидент води автоматично до максимална глоба. Не е така. Ако инцидентът е реално маловажен и не е увредил услуги или данни, надзорният орган вероятно ще предпише само процедурно подобрение и евентуално символична глоба. Тежките глоби идват, когато инцидентът е значителен (засягащи услуги или клиентски данни), а компанията е скрила или забавила доклада.

👤

Стъпка 3

Личната отговорност на ръководството: какво е новото

Това е промяната, която вкарва нов елемент в българското право. NIS2 изисква от държавите членки да предвидят възможност за лични санкции срещу членовете на управителните и надзорни органи на съществените субекти, когато тяхното поведение е довело до сериозно нарушение. Българският законодател транспонира това с две алтернативни мерки.

Лична отговорност на ръководството Две лични санкции, четири кумулативни условия Прилага се само при тежки или системни нарушения Лична административна глоба до 100 000 лв. Налага се на физическото лице - изпълнителен директор, управител, член на съвет на директорите или надзорен съвет Не подлежи на покритие от компанията или D&O застраховка Временна забрана за заемане на ръководни длъжности от 6 месеца до 5 години При повторни или особено тежки нарушения Четирите кумулативни условия за лична отговорност: 1. Дружеството е съществен субект (за важни субекти - само ако нарушението е тежко) 2. Извършено е тежко или системно нарушение на закона 3. Има пряка причинно-следствена връзка между поведението на лицето и нарушението 4. Лицето е било в позиция, в която е могло и трябвало да предотврати или да прекрати нарушението Доказателствената тежест е на надзорния орган, но липсата на due diligence е сериозен индикатор.
Фигура 2. Двата вида лични санкции и условията, при които надзорният орган може да ги наложи. Не всяко нарушение води до лична отговорност.

Първото лично средство е административна глоба до 100 000 лв., наложена директно на физическото лице - изпълнителен директор, управител, член на съвет на директорите, член на надзорен съвет. Глобата не може да бъде покрита от дружеството или от стандартна D&O полица. Това е умишлено решение на законодателя, целящо лично финансово стимулиране на ръководителите да се ангажират с киберсигурността.

Второто лично средство е временна забрана за заемане на ръководни длъжности в субект по този закон. Срокът е от 6 месеца до 5 години в зависимост от тежестта. На практика това означава, че едно лице, нарушило закона в качеството си на изпълнителен директор на болница, не може за определен период да заема ръководна позиция в друга болница, енергийно дружество, оператор на критична инфраструктура и т.н. Неприлагането обаче може да се прилага само ако нарушението е особено тежко или повторно.

Четирите кумулативни условия в долната част на фигурата са защитата на ръководителите. Не всяко нарушение на дружеството води до лична отговорност на конкретен ръководител. Надзорният орган трябва да докаже четирите елемента: че дружеството е в обхвата, че нарушението е тежко или системно, че конкретното лице чрез поведението си е допринесло за нарушението, и че лицето е имало юридическа и фактическа възможност да предотврати или прекрати ситуацията.

В практиката четвъртата точка - „имал ли е възможност да предотврати" - е често решаваща. Ако ръководителят е изградил процеси на ескалация, е одобрил адекватен бюджет за киберсигурност, е имал политика, осигурил е обучение, и въпреки това е настъпил инцидент поради грешка на оперативен служител, личната отговорност обикновено отпада. Ако обаче е имало вътрешни сигнали за проблем, но е игнорирал или замразил инициативите за киберсигурност, ситуацията се обръща.

🕒

Стъпка 4

От проверка до влязла в сила санкция: процедурата

Глобата не идва изненадващо. Има процедурна верига, в която дружеството има възможност да отговори, да поправи и да оспори. Разбирането на тази верига е първото практическо средство за защита.

Времева линия от проверка до санкция От проверка до влязла в сила санкция Шест етапа, всеки с възможност за отговор и защита 1 Сигнал Вътрешен или външен повод 2 Проверка Документална или проверка на място 3 Констатация Акт за установяване + срок за възражение 4 Възражение Писмени обяснения + доказателства 5 Наказателно постановление Размер на глобата или прекратяване 6 Обжалване Районен съд + касация в АС Ключови защитни моменти: - Етап 2 (проверка): Подгответе папка с документация. Няма право да се откаже достъп, но има право на присъствие на адвокат, на запис на разговорите и на копие от съставените актове. - Етап 4 (възражение): Срокът е 7-14 дни от съставянето на акта. Това е единственото време за представяне на доказателства за due diligence - политики, протоколи, обучения, инвестиции. Етап 6 (обжалване): След влизане в сила имате 7-дневен срок за касационно обжалване.
Фигура 3. Шестте етапа на процедурата. Етап 4 (възражение) е критичен - там се представят доказателствата за защита.

Етапи 1 и 2 са началото - сигнал и проверка. Сигналите идват от различни източници: уведомление за инцидент, подадено от самия субект; жалба от засегнат клиент или партньор; информация от друг надзорен орган; собствена инспекторска инициатива на надзорния орган. Проверката може да бъде документална (искане на документи) или на място (физическа инспекция в седалището или на критична инфраструктура).

Етап 3 е съставянето на акта за установяване на нарушение. От този момент тече срок за писмено възражение, обикновено 7 до 14 дни. Това е първият правен момент, в който компанията може официално да представи защитата си - доказателства за due diligence, обяснения за обстоятелствата, аргументи за пропорционалност на санкцията.

Етап 5 е наказателното постановление, в което надзорният орган мотивира решението си - дали налага глоба, в какъв размер, и защо. Тук влиза и решението за лична отговорност на конкретно лице. От датата на връчване тече 7-дневен срок за обжалване.

Етап 6 - обжалването - е последната спирка. Първоинстанционно компетентен е районният съд по седалището на надзорния орган. Има право на касация пред административен съд при определени основания. В практиката около 20% от наложените административни глоби в други регулаторни режими (КЗЛД, КЗК) се намаляват или отменят на първа инстанция, обикновено поради процедурни нарушения или непропорционалност на размера. За новия кибернетичен режим практиката още не е установена.

🛡

Стъпка 5

Седем документа, които защитават ръководството

Защитата на ръководителите от лична отговорност не започва, когато инспекторът дойде на вратата. Тя се изгражда през работния поток на компанията месеци или години преди това. Ето седемте документа, които ние препоръчваме като минимум на ръководствата на съществените и важните субекти.

1. Решение на управителния орган за политика по киберсигурност

Подписан протокол на съвета на директорите или общото събрание, с който се одобрява политиката за киберсигурност. Дата, имена, подписи. Това доказва, че въпросът е достигнал до най-високото ниво на управление.

2. Документиран бюджет за киберсигурност

Бюджетна позиция в годишния бюджет на дружеството, отделена за киберсигурност, с конкретен размер. Не е достатъчно ИТ бюджетът да бъде размит - надзорният орган ще иска да види специален фокус.

3. Назначен отговорник за информационната сигурност (CISO или вCISO)

Заповед или договор, който назначава лице (вътрешно или външно) за отговорник по сигурността с ясно описани задължения и пряка линия за докладване към управителния орган.

4. Регулярни отчети за състоянието на сигурността пред управителния орган

Минимум веднъж на тримесечие - писмен или презентационен доклад до съвета на директорите, който описва текущи рискове, инциденти, инвестиции, и постигнати резултати. Протоколиран в дневника на заседанията.

5. Обучение за управителния орган

Чл. 20 от Директивата изрично изисква управителните органи на съществените и важните субекти да преминат обучение. Договор с обучаваща организация, посещаемост, тестове - всичко трябва да е документирано.

6. Документиран план за реагиране при инциденти

Писмен процес с роли, телефонни номера, срокове, шаблони за уведомление. Не е достатъчно да съществува - трябва да е тестван поне веднъж годишно с протокол от теста.

7. Регистър на доставчиците с категоризация по риск

Списък на всички ИКТ доставчици с оценка на риска, договорни клаузи за сигурност, и периодични прегледи. Това е една от 13-те минимални мерки и една от най-често пропусканите при проверка.

Тези седем документа не елиминират риска от санкция. Но те показват, че ръководството е изпълнило задължението си за добросъвестно управление на киберсигурността. При проверка тези документи се представят на инспектора в първите 48 часа. Тяхното отсъствие е сериозен индикатор за надзорния орган, че е налице четвъртото условие за лична отговорност (възможност да предотврати, която не е била използвана).

📝

Стъпка 6

Три реални сценария за български компании

Числата стават реални, когато ги поставим в конкретен контекст. Ето три сценария, които съответстват на реални клиенти от нашата практика, с променени имена и идентифициращи детайли. Числата за глобите са оценки, не действителни наложени санкции.

Сценарий 1: Регионална болница, оборот 18 млн. лв., съществен субект

Болницата претърпява ransomware атака през август. Криптирани са пациентските електронни досиета, частично възстановени от резервно копие 3 дни по-късно. Болницата уведомява надзорния орган едва на 6-ия ден, твърдейки, че е „преценявала техническия обхват". Няма документирана политика на ниво управителен съвет, няма обучение на ръководството.

Очаквана глоба за дружеството: 800 000 - 1 500 000 лв. (тежко нарушение - закъснение в уведомлението, плюс липса на 13-те мерки). Лична отговорност на изпълнителния директор: Възможна - между 30 000 и 80 000 лв. Доказателствата за due diligence отсъстват и това отваря личен риск.

Сценарий 2: Софтуерна компания, 80 служители, важен субект (доставчик на критични услуги)

Компанията претърпява проникване в системата си от държавен актьор, чрез компрометиран акаунт на служител (фишинг). Атакуващите имат достъп 11 дни преди да бъдат открити. Компанията уведомява надзорния орган в рамките на 24 часа от откриването, последва редовни доклади. Има документирана политика, обучение, MFA - но MFA е било изключено за конкретния служител по технически причини от 3 седмици.

Очаквана глоба за дружеството: 80 000 - 250 000 лв. (значимо нарушение - конкретна оперативна слабост, но без системна неподготвеност). Лична отговорност на ръководството: Малко вероятна. Документираните due diligence мерки и навременното уведомление сериозно намаляват личния риск.

Сценарий 3: Малка община, 24 000 жители, съществен субект (винаги в обхвата)

Общината не е регистрирана в надзорния орган, не е назначила отговорник по сигурността, продължава да използва безплатна електронна поща (не общинска поща с домейн). Не е имало инцидент, но при планова проверка през септември надзорният орган установява всички тези пропуски.

Очаквана глоба за общината: 30 000 - 100 000 лв. (значимо нарушение - формални пропуски, но без увреждане). Лична отговорност на кмета: Малко вероятна за първа проверка, но надзорният орган ще предпише мерки и срок. При повторна проверка със същите констатации - вече възможно. Кметът може да защити себе си с протокол от общинския съвет за гласуван бюджет за киберсигурност и заповед за отговорник.

Как Atlant Security помага

Документирана защита на ръководството по новия Закон за киберсигурност

За съществените и важните субекти изграждаме пълния набор от документи, политики и процеси, които съдът или надзорният орган ще приеме като доказателство за добросъвестно управление. Работим директно с управителния орган и с CISO или ИТ ръководителя, не с консултанти-новаци.

  • Цялостен пакет за NIS2 съответствие за съществени субекти от 18 000 лв.
  • Лек пакет за важни субекти от 9 500 лв.
  • Срок 8 - 12 седмици от стартиране до пълна готовност за проверка
  • Протоколни решения, политики, процеси за инцидентен отговор, регистър на доставчиците
  • Обучение на управителния орган и тестване на инцидентния процес
  • Поддръжка след срока на проекта - тримесечни прегледи и обновяване на документацията

Запазете 30-минутна консултация →

Често задавани въпроси

Въпроси, които ръководители ни задават всяка седмица

Може ли личната глоба да бъде покрита от компанията или от D&O застраховка?

Не. Това е изрично решение на законодателя. Лично наложена административна глоба не може да бъде платена от дружеството - такова плащане би било квалифицирано като укриване на отговорност и би могло да доведе до допълнителни санкции. Стандартните български D&O полици не покриват административни глоби, наложени на физическото лице. Има специализирани продукти на международния пазар, но в България те още не се предлагат масово.

Ние сме малко дружество извън обхвата. Как ни засягат глобите?

Директно - не. Косвено - чрез договорни искания на клиенти, които са в обхвата. Когато доставяте услуги на съществен или важен субект, той ще ви включи в собствения си регистър на доставчиците и ще иска от вас договорни ангажименти за сигурност, евентуално одити, и определена ниво на готовност. Това в крайна сметка значи, че дори да не сте пряко в обхвата, ще трябва да отговорите на изискванията de facto. Препоръчваме доброволно прилагане на 13-те минимални мерки.

Имам ли право да откажа достъп на инспектор?

Не. Възпрепятстването на проверка е самостоятелно тежко нарушение, носещо глоба между 500 000 и 3 000 000 лв. Имате право обаче на присъствие на адвокат, на запис на разговорите, на копие от съставените актове, и на писмени възражения. Можете също да поискате отлагане на проверката с уважителна причина - например отсъствие на ключови служители - но това трябва да е добросъвестно и в разумни срокове.

Кой точно от ръководството може да носи лична отговорност?

Лица, които участват в управлението или надзора на дружеството: членове на съвет на директорите (едностепенна система), членове на управителен и надзорен съвет (двустепенна система), управители на ООД, изпълнителни директори. Не носят лична отговорност по този закон редовите служители, ИТ специалистите, дори и началникът на ИТ отдел, освен ако не е едновременно член на управителен орган. Това е важно различие - личната отговорност е насочена към най-високото ниво на стратегическо управление, не към оперативното изпълнение.

Какви наказателни (углавни) последствия има освен административните глоби?

Самият Закон за киберсигурност не въвежда наказателна отговорност, той е изцяло административно-наказателен. Но при тежки инциденти могат да се задействат паралелни производства по Наказателния кодекс - например по чл. 319а - 319г (компютърни престъпления), при доказана умишлена помощ или непредпазливо допускане. На практика паралелни наказателни производства срещу ръководители са редки, но при значителни щети на критична инфраструктура са възможни.

Колко струва добра защита на ръководството?

Зависи от размера и сложността на дружеството. За съществен субект - средно дружество от 80 - 250 служители - пакетът от документация, обучение, политики, и тестване на процесите се позиционира между 18 000 и 35 000 лв. за първоначална имплементация, плюс 8 000 - 12 000 лв. годишна поддръжка. За важен субект и по-малко дружество тези числа се намаляват с около 40 - 50%. Сравнете с потенциалните глоби - и личните, и за дружеството - и икономиката на инвестицията става ясна.

Глобите по новия Закон за киберсигурност не са измислени, за да фалират компании. Те са измислени, за да направят киберсигурността бизнес приоритет на най-високото управленско ниво, така както го правят GDPR за данните и MiFID II за финансите. Нивото на санкциите отразява тази цел - те са достатъчно високи, за да получат вниманието на съветите на директорите, и достатъчно чувствителни към сътрудничество и due diligence, за да възнаградят добрите практики.

Ако вашата компания е в обхвата на закона, най-лошият план е да чакате първата проверка, за да разберете къде стоите. Най-добрият план е да започнете с малко - решение на управителния орган, назначен отговорник, бюджетна позиция - и да изграждате надолу. Документирано добросъвестно поведение е най-силната защита и за дружеството, и за лицата, които го управляват.

Имате въпрос за обхвата, санкциите или защитата на ръководството? Запазете 30-минутна консултация или пишете директно на alexander@atlantsecurity.com.

Александър Свердлов

Александър Свердлов

Основател на Atlant Security. Автор на 2 книги за информационна сигурност, лектор по киберсигурност на най-големите конференции по киберсигурност в Азия и панелист на конференция на ООН. Бивш член на екипа за консултации по сигурността на Microsoft, външен консултант по киберсигурност в Емиратската корпорация за ядрена енергия.