Киберсигурност за бизнеса: ISO 27001, NIS2 и DORA обяснени на човешки език
A
Alexander Sverdlov
Анализатор по сигурността
21.03.2026 г.
Практическо ръководство · Обновено март 2026
Три регулаторни рамки, стотици контроли, десетки съкращения. Повечето материали по темата са написани за одитори, не за хора, които управляват реален бизнес. Тази статия е другото.
💫 Основни изводи
ISO 27001 е доброволен стандарт за управление на информационната сигурност — но клиентите ви все по-често го изискват като условие за договор
NIS2 е задължителна европейска директива от октомври 2024 г., засягаща стотици хиляди организации в ЕС, включително в България
DORA е задължително за финансовия сектор от януари 2025 г. — банки, застрахователи, инвестиционни посредници, FinTech компании
И трите рамки имат значително застъпване — умната стратегия е да ги изпълнявате паралелно, не последователно
Глобите при неспазване не са теоретични: NIS2 предвижда до 10 млн. евро или 2% от глобалния оборот
Ще ви кажа честно какво мисля за регулаторните рамки в киберсигурността: повечето организации ги третират като бюрократично упражнение. Попълват документи, пишат политики, които никой не чете, и поставят отметки в клетки. После биват хаквани. И тогава се изненадват.
Но ето откъде идват тези рамки и защо са по-умни, отколкото изглеждат. ISO 27001 е разработван в продължение на десетилетия от хора, чиято работа е да разследват какво се е объркало след всеки голям пробив. NIS2 е отговорът на Европейската комисия на SolarWinds, Colonial Pipeline и NotPetya — атаки, нанесли щети за десетки милиарди евро на критична инфраструктура. DORA е реакцията на факта, че банките имат сериозна дигитална зависимост, но нулева стандартизирана устойчивост срещу IT смущения.
С други думи: тези рамки са кодифицирания опит от хиляди реални пробива. Когато ги следвате внимателно, вие всъщност прилагате уроците, научени по най-болезнения начин от другите. Нека ги разгледаме един по един.
📄
Международен стандарт
ISO 27001 — 93 контрола обяснени без жаргон
ISO/IEC 27001:2022 е международният стандарт за системи за управление на информационната сигурност (ISMS). Версията от 2022 г. включва 93 контрола, разпределени в 4 теми. Преди да скочим в тях, едно важно уточнение: стандартът не изисква да приложите всичките 93. Изисква да оцените кои са приложими за вашата организация и да обосновете защо другите не са. Това се документира в т.нар. „Декларация за приложимост" (Statement of Applicability).
Ето всички 4 теми с техните контроли, преведени на езика на реалния бизнес:
🏢 Тема А: Организационни контроли (37 контрола)
Правилата, политиките и процесите, управляващи как работи вашата организация от гледна точка на сигурността.
Контрол
Какво означава на практика
Политики за сигурност
Имате ли написано как се работи с данни? Не PDF, заключен на сървъра — реален документ, одобрен от ръководството и познат на служителите.
Роли и отговорности
Кой отговаря за сигурността? Не „IT-ят" като общ отговор — конкретни хора с конкретни задължения, записани на хартия.
Сегрегация на задълженията
Един и същи човек не трябва да може да нареди плащане и да го одобри. Класически принцип, предотвратяващ злоупотреби.
Контакт с властите
Знаете ли на кого да се обадите при инцидент? CERT Bulgaria, КЗЛД, полиция — имате ли контактите предварително?
Сигурност на проекти
Когато разработвате нова система или приложение, сигурността се взима предвид от самото начало — не се добавя накрая като „patch".
Управление на активи
Знаете ли какво имате? Всеки лаптоп, сървър, облачен акаунт, USB устройство трябва да е инвентаризиран. Не можете да защитите това, което не знаете, че съществува.
Класификация на информацията
Публично, вътрешно, поверително, строго поверително. Всеки документ и файл трябва да знае „колко важен е" — и хората да знаят как да го третират.
Управление на идентичности и достъп
Правилните хора имат достъп само до правилните неща. Когато служител напусне — достъпът изчезва в същия ден, не след месец.
Управление на доставчици
Вашият счетоводен софтуер, IT аутсорс партньорът, доставчикът на облачни услуги — всеки от тях е потенциален вектор за атака срещу вас. Имате ли изисквания към тяхната сигурност в договорите?
Управление на инциденти
Процес за докладване, разследване и реагиране при инциденти. Включва и задължение за учене от грешките — всеки инцидент трябва да води до подобрение.
Continuity на бизнеса
Ако сървърите ви изгорят утре сутринта, кога ще сте обратно онлайн? Трябва да имате план — и да сте го тествали реално, не само написали.
Съответствие с правни изисквания
GDPR, Закон за киберсигурността, секторни регулации — трябва да имате преглед на всички правни задължения и доказателства, че ги изпълнявате.
👤 Тема Б: Контроли за хора (8 контрола)
Най-малката тема, но с огромно значение — хората са едновременно най-слабото и най-силното звено в сигурността.
Контрол
Какво означава на практика
Проверка на фона (Screening)
Проверка на кандидатите преди наемане — особено за роли с достъп до чувствителни данни. Съобразено с GDPR и местното законодателство.
Договорни условия
Задълженията за сигурност трябва да са в трудовия договор — не само в полицата, прочетена при обучението. Служителят трябва да знае последствията.
Осведоменост и обучение
Редовно, практическо обучение — не еднократен курс. Симулирани фишинг тестове, актуализирано съдържание, измерими резултати.
Дисциплинарен процес
Какво се случва, ако служител наруши политиките? Трябва да има ясни, прозрачни последствия — за да има смисъл от правилата.
Отговорности при напускане
При напускане: всички достъпи се прекратяват, устройствата се връщат, поверителността продължава и след края на трудовото правоотношение.
Дистанционна работа
Правила за работа от вкъщи или от кафене. VPN задължителен? Как се третират корпоративните данни на личен лаптоп? Публичен Wi-Fi — разрешен ли е?
Докладване на инциденти
Служителите трябва да знаят как да докладват подозрителни имейли, изгубени устройства или необичайна активност — и да се чувстват в безопасност да го правят, без страх от наказание.
Конфиденциалност и споразумения за неразкриване
Всеки с достъп до чувствителна информация подписва NDA. Включва консултанти, временни служители и доставчици.
🏠 Тема В: Физически контроли (14 контрола)
Физическият достъп до оборудване и офис пространства — нещо, което много организации подценяват сериозно.
Контрол
Какво означава на практика
Физически периметър
Серверните зони и чувствителните офиси имат ли контролиран достъп? Ключ с карта, PIN код, биометрия — нещо повече от обикновен ключ.
Контрол на физическия вход
Посетителите се придружават. Има ли регистър кой е влизал кога? „Tailgating" (влизане след друг) трябва да е невъзможно или поне засечено.
Защита на офиси и стаи
Сървърните помещения заключени ли са? Охлаждане, пожароизвестяване, заключване — базови, но нерядко пренебрегвани.
Работа в защитени зони
В зоните с чувствително оборудване не се работи само. Документира се кой е работил там и кога.
Чисто бюро и чист екран
Поверителни документи не остават видими на бюрото. Компютрите се заключват при напускане на работното място. Звучи елементарно — нарушава се ежедневно.
Унищожаване на носители
Стари твърди дискове и USB устройства не се изхвърлят в боклука. Сигурно изтриване или физическо унищожаване с документация.
Поддръжка на оборудване
Когато изпращате лаптоп за ремонт, данните защитени ли са? Техникът не трябва да има достъп до корпоративните файлове.
Кабелна сигурност
Мрежовите кабели защитени ли са от физически тампъринг? Особено важно за компании с публично достъпни офиси или коворкинг пространства.
💻 Тема Г: Технологични контроли (34 контрола)
Техническите мерки — системи, конфигурации и инструменти за защита на дигиталната среда.
Контрол
Какво означава на практика
Автентикация
MFA навсякъде. Силни пароли (или още по-добре — password manager). Никакви споделени акаунти.
Управление на привилегирован достъп
Администраторските акаунти се използват само за административни задачи. Не сърфирате в интернет с Domain Admin. Никога.
Ограничения на достъпа до информация
Технически ограничения (file permissions, database roles) в допълнение към организационните политики. Политиката и технологията вървят заедно.
Криптиране
Чувствителните данни са криптирани — при съхранение (at rest) и при пренос (in transit). HTTPS навсякъде. Пълно дисково криптиране на лаптопите.
Защита от зловреден код
EDR/antimalware на всички устройства, актуализиран. Но само като един слой от защитата — не като единствена мярка.
Управление на технически уязвимости
Редовно сканиране за уязвимости, patch management процес, ясен SLA за критични кръпки. 72 часа за критично, 30 дни за средно.
Конфигурационно управление
Стандартизирани, сигурни baseline конфигурации за всички системи. Промените се документират и одобряват. Никакъв „shadow IT".
Логове и мониторинг
Всичко се логва — влизания, грешки, промени. Логовете са защитени (не може да ги изтрие атакуващ) и редовно се преглеждат. Без преглед — логовете са безполезни.
Мрежова сигурност
Сегментиране на мрежата, защитни стени, контрол на трафика. Гостите ползват отделна Wi-Fi мрежа от служителите. Производственото оборудване е изолирано.
Филтриране на уеб
Блокиране на известни злонамерени домейни и нежелани категории сайтове. DNS filtering като допълнителен слой.
Backup и възстановяване
Правилото 3-2-1. Тествани редовно. Immutable backup копия извън обсега на ransomware. Измерен RTO и RPO.
Сигурност при разработка
DevSecOps принципи — сигурността е интегрирана в CI/CD pipeline-а, не проверявана накрая. Code review, SAST/DAST тестване.
Управление на часовници (Clock sync)
Звучи дребно, но е критично: всички системи трябва да показват едно и също точно време (NTP). При разследване на инцидент, разминаването от минути в логовете може да провали цялото разследване.
💡 Практически съвет
Не се опитвайте да внедрите всичките 93 контрола наведнъж. Вземете Приложение А на стандарта, оценете всеки контрол по скала Приложим/Неприложим/Частично приложим, и приоритизирайте по реален риск. Повечето средни фирми имат 40–60 реално приложими контрола. Започнете от тях.
🇪🇺
Европейска директива
NIS2 — кого засяга и 10-те задължителни мерки
Директива NIS2 (Network and Information Security 2) влезе в сила в октомври 2024 г. и е задължителна за организации, работещи в 18 критични сектора — от енергетика и транспорт до здравеопазване, облачни услуги, производство, и дори управление на отпадъци. Ключовият въпрос, с който започват повечето разговори с клиенти: „Засяга ли ни?"
✓ NIS2 засяга вашата организация, ако:
Работите в критичен сектор (енергетика, транспорт, здравеопазване, банков сектор, водоснабдяване, цифрова инфраструктура, публична администрация) и имате над 50 служители или над 10 млн. евро оборот
Работите в „важен" сектор (пощенски услуги, управление на отпадъци, производство, химическа промишленост, хранително-вкусова промишленост, дигитални доставчици) с над 50 служители
Дори под тези прагове, ако сте доставчик на критична инфраструктура или ключов участник по веригата на доставки
Ако попадате в обхвата, Член 21 на директивата изисква прилагане на следните мерки:
#
Изискване
Какво означава реално
1
Политики за анализ на риска
Формален процес за идентифициране, оценка и управление на рисковете за информационните системи. Трябва да е жив документ, актуализиран поне веднъж годишно.
2
Управление на инциденти
Процедура за засичане, докладване и реакция при инциденти. Значимите инциденти трябва да се докладват на националния орган в рамките на 24 часа (предварително) и 72 часа (детайлно).
3
Бизнес continuity и кризисно управление
Backup стратегия, план за Disaster Recovery, план за управление на кризи. Не само написани — тествани. NIS2 изрично изисква доказателства за тестване.
4
Сигурност на веригата на доставки
Трябва да оцените рисковете, идващи от вашите доставчици и IT партньори. Споразумения за сигурност в договорите, периодичен преглед на третите страни.
5
Сигурност при придобиване, разработка и поддръжка
Политики за сигурност на системите по целия им жизнен цикъл — от закупуване/разработка до извеждане от употреба. Включва и управление на уязвимости.
6
Оценка на ефективността
Политики за измерване и оценка на мерките за киберсигурност. Одити, KPI-и, периодични прегледи — трябва да можете да докажете, че мерките работят.
7
Кибер хигиена и обучение
Базово обучение за всички служители. Специализирано за ръководния екип — NIS2 изрично вменява отговорност на мениджмънта. Незнанието вече не е защита.
8
Политики за криптография
Формална политика за кога и как се използва криптиране. Кои данни се криптират, с какви алгоритми, как се управляват ключовете.
9
Сигурност на човешките ресурси и достъпа
Контрол на достъпа, Asset management, HR сигурност — припокрива се значително с ISO 27001. Ако вече имате стандарта, голяма част е покрита.
10
Многофакторна автентикация
MFA е изрично споменато в директивата — не като препоръка, а като задължително изискване. Включва voice/video комуникации и защитени системи за спешни комуникации.
⚠️ Санкции при нарушения на NIS2
За „съществени" субекти: до 10 млн. евро или 2% от глобалния оборот (което е по-голямо). За „важни" субекти: до 7 млн. евро или 1.4% от оборота. Освен глобите, ръководителите на организацията могат да бъдат държани лично отговорни — включително временна забрана за управленски функции.
🏠
Финансов сектор
DORA — 5-те стълба на дигиталната операционна устойчивост
DORA (Digital Operational Resilience Act) е в сила от 17 януари 2025 г. и засяга над 22 000 финансови субекта в ЕС. Ако вашата организация е банка, застраховател, пенсионен фонд, инвестиционен посредник, платежна институция, доставчик на крипто услуги, рейтингова агенция или — критично важно — ICT доставчик на такива субекти, DORA е задължителна за вас.
Регламентът е структуриран около пет основни стълба:
🏗️ Стълб 1: ICT Risk Management Framework
Всяка финансова институция трябва да има цялостна рамка за управление на ICT рисковете, одобрена от управителния орган. Не само IT отделът — борда на директорите носи пряка отговорност. Рамката включва: идентификация на активите и зависимостите, защита и превенция, засичане на аномалии, реакция и възстановяване, и комуникационна стратегия при кризи. Преглед поне веднъж годишно.
🚨 Стълб 2: Класификация и докладване на ICT инциденти
DORA въвежда хармонизирана класификация на инцидентите и строги срокове за докладване. Значими инциденти: предварителен доклад до 4 часа след класификацията (и не повече от 24 часа след засичането), детайлен доклад до 72 часа, и финален доклад до 1 месец. Надзорният орган може да изиска и публично оповестяване. Изброените критерии за „значимост" включват: засегнати повече от 100 000 потребители, транзакции за над 500 000 евро, или недостъпност на критични услуги над 2 часа.
🔨 Стълб 3: Тестване на дигиталната операционна устойчивост
Всички финансови субекти трябва да тестват системите си редовно. За повечето — базово тестване веднъж годишно (vulnerability assessment, penetration test). За „значимите" институции — разширено тестване на база заплахи (Threat-Led Penetration Testing, TLPT) на всеки 3 години, провеждано от сертифицирани „red team" специалисти по методология TIBER-EU. Резултатите се докладват на надзорния орган.
🔗 Стълб 4: Управление на ICT риска от трети страни
Това е, вероятно, най-болезненият стълб за много организации. DORA изисква: регистър на всички ICT доставчици, класификация на „критичните" такива, детайлни договорни изисквания (включително клаузи за одит, субаутсорсинг, exit стратегии), и план за изход от зависимост при необходимост. Европейските надзорни органи (ESA) получават директни надзорни правомощия спрямо критичните ICT доставчици — като облачните хиперскейлъри.
💬 Стълб 5: Споделяне на информация за заплахи
DORA насърчава (и в някои случаи изисква) участие в схеми за споделяне на информация за киберзаплахи (threat intelligence sharing) между финансовите институции. Идеята е проста: ако атакуват банка А, банка Б трябва да знае за това достатъчно бързо, за да се защити. Участието в такива схеми трябва да е защитено — споделената информация не може да се използва срещу субекта в надзорни производства.
🔄
Стратегия
Как трите рамки се припокриват — и как да спестите усилия
Добрата новина: ISO 27001, NIS2 и DORA не са три напълно различни вселени. Има значително припокриване — особено в основните области. Ето картата на застъпването:
Изискване
ISO 27001
NIS2
DORA
Управление на риска
✓
✓
✓
Управление на инциденти
✓
✓
✓
Business Continuity и Backup
✓
✓
✓
Обучение и осведоменост
✓
✓
✓
Сигурност на доставчиците
✓
✓
✓ (разширено)
Криптиране и MFA
✓
✓
✓
Докладване към регулатор
—
✓ (24/72ч)
✓ (4/72ч)
Задължително тестване (pen test)
Препоръчително
Препоръчително
✓ (TLPT)
Лична отговорност на мениджмънта
Косвено
✓ (изрично)
✓ (изрично)
Практическият извод: ако изградите ISO 27001 ISMS, вие покривате около 70% от изискванията на NIS2 и 60% от тези на DORA. Оставащата разлика е предимно в специфичните изисквания за докладване, тестване и третите страни. Умната стратегия е да използвате ISO 27001 като основа и да добавяте специфичните изисквания на всяка регулация отгоре.
📍
Практически план
Откъде да започнете — реалистичен план за 12 месеца
Нека бъда честен относно времето: пълната ISO 27001 сертификация отнема средно 9–18 месеца. NIS2 съответствието може да се постигне за 6–9 месеца с правилна подкрепа. DORA е 12+ месеца за значими финансови институции. Ето реалистичен подход:
📅 Месеци 1–2: Разберете къде се намирате
Независим gap assessment спрямо приложимите рамки. Идентифицирайте кои изисквания са изпълнени, кои частично, кои въобще. Без тази стъпка — всяка инвестиция е произволна.
📅 Месеци 3–5: Изградете основата
Документирайте политиките, определете роли, внедрете MFA, изградете процеса за управление на инциденти, тествайте backup-ите. Това са мерките с най-висок ROI и покриват значителна част от всяка рамка.
📅 Месеци 6–9: Запълнете пропуските
Адресирайте специфичните изисквания на вашата рамка: за NIS2 — процес за докладване и верига на доставки. За DORA — TLPT тестване и договори с ICT доставчици. За ISO 27001 — вътрешен одит и management review.
📅 Месеци 10–12: Валидирайте и сертифицирайте
Независим одит за потвърждение на готовността. Ако целта е ISO 27001 сертификат — Stage 1 и Stage 2 одит от акредитиран орган. За NIS2 — самооценка и регистрация при националния компетентен орган.
❓
Отговори
Често задавани въпроси
ISO 27001 сертификатът задължителен ли е или само ISO 27001 съответствието?
Стриктно погледнато, законът не изисква сертификат — изисква прилагане на адекватни мерки за сигурност. Но в практиката ISO 27001 сертификатът е единственото убедително доказателство пред клиенти, партньори и регулатори. Думата „съответствие без сертификат" се приема скептично. Ако наистина искате да ползвате рамката — направете сертификацията, иначе инвестицията е наполовина.
България транспонирала ли е NIS2 в националното законодателство?
Крайният срок за транспониране беше октомври 2024 г. Към март 2026 г. процесът е в напреднал етап — Законът за киберсигурност е в процес на актуализация. Независимо от националното транспониране, директивата има директен ефект в ЕС и изискванията са приложими. Препоръчваме да следите сайта на националния компетентен орган за актуална информация.
Ако вече имаме GDPR съответствие, колко близо сме до NIS2?
По-близо, отколкото от нулата — но не толкова, колкото обикновено се предполага. GDPR фокусира върху защита на личните данни. NIS2 фокусира върху операционна устойчивост на мрежите и системите — значително по-широко. Overlap-ът е в управлението на инциденти, техническите мерки и документацията. Специфичните NIS2 изисквания за верига на доставки, докладване и обучение на мениджмънта обикновено не са покрити от GDPR програми.
Колко струва ISO 27001 сертификацията?
За малки организации (20–50 служители): 15 000–40 000 евро всичко включено (консултантска подкрепа + сертификационен одит + годишни надзорни одити). За средни (50–200 служители): 30 000–80 000 евро. Годишният надзорен одит след сертификацията е около 20–30% от цената на първоначалния. Ресертификацията на всеки 3 години е с обем, близък до първоначалния одит.
Можем ли да се подготвим вътрешно или трябва консултант?
Теоретично — да, може и вътрешно. Практически, повечето организации, опитали се без external подкрепа, или са се провалили на сертификационния одит, или са изразходвали 2–3 пъти повече вътрешно работно време, отколкото би струвал консултантът. Стандартните документи, шаблоните, и опитът от десетки имплементации имат реална стойност. Добрият модел: вътрешен „champion" + външен консултант за ключовите фази (gap assessment, документация, pre-audit). Вижте нашата страница за ISO 27001 внедряване за повече детайли.
Готови ли сте да разберете спрямо кои рамки трябва да отговаряте?
Atlant Security провежда gap assessments спрямо ISO 27001, NIS2 и DORA — и ви казва точно какво е нужно, в какъв ред и с какви ресурси. Без излишни разходи, без „маратон" от документи, без изненади на одита. Започнете с безплатна оценка.
Последна актуализация: март 2026 · Автор: Екипът на Atlant Security
Тази статия е с информационна цел. Описанието на контролите и изискванията е базирано на официалните публикации на ISO, Европейската комисия и EIOPA. Конкретното приложение спрямо вашата организация зависи от размера, сектора и юрисдикцията. Препоръчваме консултация с квалифициран специалист преди вземане на решения за съответствие.
Александър Свердлов
Основател на Atlant Security. Автор на 2 книги за информационна сигурност, лектор по киберсигурност на най-големите конференции по киберсигурност в Азия и панелист на конференция на ООН. Бивш член на екипа за консултации по сигурността на Microsoft, външен консултант по киберсигурност в Емиратската корпорация за ядрена енергия.
