Назад към блога
Регулации18 мин четене

13 минимални мерки за киберсигурност: какво точно изисква новият Закон от съществените и важните субекти

A

Alexander Sverdlov

Анализатор по сигурността

14.05.2026 г.
13 минимални мерки за киберсигурност: какво точно изисква новият Закон от съществените и важните субекти

Закон за киберсигурност · 13 минимални мерки · Май 2026

13 минимални мерки за киберсигурност: какво точно изисква новият Закон от съществените и важните субекти

Член 21 от Закона за киберсигурност и съответната наредба въвеждат 13 категории задължителни технически и организационни мерки. Това не са препоръки или насоки на ENISA - това са изпълняеми норми, чието неспазване е тежко нарушение с глоба до 1 000 000 лв. за важните субекти и до 10 000 000 лв. за съществените. Това е практическият разбор: какво всъщност изисква всяка мярка, какво приемат проверяващите за доказателство, и колко струва изграждането ѝ за компания от 100 до 500 души.

Най-важното накратко

  • 13-те мерки не са контролен лист. Това са области на риск, всяка от които изисква писмена политика, документиран процес, технически изпълнение и доказателство за работата му във времето. Минималното разбиране „имаме антивирусна, значи имаме мярка 10" не издържа проверка.
  • За компания от 200 до 500 души пълно изграждане на 13-те мерки струва от 180 000 до 480 000 лв. в първата година, плюс 60 000 до 140 000 лв. годишна оперативна цена. По-малките компании плащат по-малко в абсолютни числа, но повече като процент от оборота.
  • Принципът на пропорционалност работи в две посоки. Съществените субекти не могат да твърдят, че „с няколко защитни стени и обучение веднъж в годината" са изпълнили мярка 1 (управление на риска). Важните субекти не са длъжни да изграждат целия SOC.
  • Шестте най-често пропускани мерки в проверките са: оценка на ефективността (мярка 6), управление на веригата за доставки (мярка 4), сигурност при разработване на софтуер (мярка 5), криптография на ниво данни в покой (мярка 7), управление на активите (мярка 10) и непрекъснато обучение по кибер-хигиена (мярка 13). Това са и шестте, които МЕУ постоянно повтаря в указанията си.
  • Доказателствата от 12 до 24 месеца преди проверката тежат повече от моментната снимка на средата. Една година логове, протоколи от тримесечни прегледи на риска, регистри на инциденти и обучения е по-силен аргумент пред проверяващия от ново внедрена SIEM система.
  • Първите 90 дни след влизане в обхвата трябва да отидат за оценка на риска и политики, не за купуване на продукти. Около 60% от глобите от европейски аналози (Италия, Германия, Гърция) са за липса на писмена документация, а не за слаби технически контроли.

Когато пиша този текст в средата на май 2026 г., новият Закон за киберсигурност вече е в сила от януари, а преходният период за пълно съответствие изтича на 1 юни 2026 г. През последните три месеца съм провел над дузина първи срещи с ИТ директори на български компании, попаднали в обхвата на закона - производители, дистрибутори, енергийни оператори, болници, една по-голяма ИТ компания, две банки. Едно и също изречение се повтаря почти на всяка среща: „Имаме много неща, които вече правим. Не сме сигурни какво още точно ни искат."

Този текст е дълъг отговор на този въпрос. Минавам през всяка от 13-те минимални мерки, описвам какво всъщност изисква текстът на закона и подзаконовата уредба, давам конкретни примери от български реалности, и казвам колко струва типичната реализация. В края давам приоритизирана 12-месечна пътна карта, която сме използвали в осем компании от последните седем месеца.

Една забележка преди да продължим: числата за глоби и санкции в този текст се отнасят до текста на закона към момента на писане. МЕУ продължава да издава указания и тълкувания, така че пътната карта в края препоръчва тримесечен преглед, не еднократно внедряване.

Ако сте на средата на оценката си, ще откриете тук какво в момента пропускате. Ако още не сте започнали - имате около две до три седмици, за да започнете сериозно, преди следващата вълна от инспекции на МЕУ.

📚

Раздел 1

Картата на 13-те мерки: какво стои в текста на закона

Член 21 от Закона за киберсигурност (българското транспониране на чл. 21 от Директива (ЕС) 2022/2555 - NIS2) изброява областите, в които задължените субекти трябва да въведат „подходящи и пропорционални технически, оперативни и организационни мерки". Подзаконовата уредба разделя тези области на 13 практически категории, които прилагам по-долу. Когато проверяващ влезе в офиса ви, той ще ви иска доказателство за всяка една от тях поотделно.

13-те минимални мерки за киберсигурност 13 категории мерки - картата на задълженията Всяка категория изисква политика, процес, изпълнение и доказателство 1. Управление на риска Регистър, оценка, преглед тримесечно, ESG-методология 2. Управление на инциденти Откриване, реакция, докладване 24/72ч 3. Непрекъсваемост и бекъп DR план, тествани бекъпи, 3-2-1 правило, RTO/RPO 4. Верига за доставки Регистър на доставчици, оценка на риска им 5. Разработка и поддръжка SDLC, прегледи на код, управление на уязвимости 6. Оценка на ефективността Вътрешен одит, KPI, прегледи на ръководството 7. Криптография Шифроване в покой и в движение, ключове 8. Сигурност на персонала Проверки, NDA, процес при напускане 9. Контрол на достъпа RBAC, най-малка привилегия, периодичен преглед 10. Управление на активите Регистър на ИТ активи, собственик, класификация 11. MFA и сигурни комуник. Многофакторно, TLS 1.2+, VPN, защитена електронна поща 12. Гласови / видеокомуник. Защитени телефонии, авариен канал, видеовръзки 13. Обучение по кибер-хигиена Годишно за всички, специализирано за ИТ, симулиран фишинг минимум 2 пъти годишно
Фигура 1. Картата на 13-те задължителни мерки. Всяка изисква четирите елемента - политика, процес, техника и доказателство във времето.

Принципът на пропорционалност, който често чувам цитиран в защитна позиция („ние сме малки, законът ни позволява да правим по-малко"), всъщност има два аспекта. От една страна, подходът към риска и обемът на инвестицията трябва да са съразмерни с дейността, размера и реалния риск за компанията. От друга страна, не освобождава от никое от 13-те задължения. Малката счетоводна къща не е длъжна да поддържа 24/7 SOC, но е длъжна да има писмена политика за управление на инциденти, регистър на активите си, и тестван бекъп. Между „нищо" и „пълен SOC" има огромна пропорционална зона, в която трябва да попадне дейността ѝ.

Едно практическо разграничение: проверяващите от МЕУ и секторните регулатори (БНБ, КРС, МЗ) гледат за четири доказателствени елемента за всяка мярка: писмена политика (одобрена от ръководството, с дата на влизане в сила и собственик), описание на процеса (стъпки, отговорници, периодичност), техническо изпълнение (екран, конфигурация, лог), и история на изпълнение (записи поне за последните 12 месеца, които показват, че процесът наистина работи). Липсата на който и да е от четирите превръща мярката в недоказуема, дори ако в действителност я изпълнявате.

🔍

Раздел 2

Подробно: шестте мерки, които най-често пропадат на проверка

От опита на първите проверки и от паралелните инспекции при италианския и гръцкия си екип, мога да изброя шестте мерки, които компаниите най-често смятат за изпълнени, но в действителност не са. Това са мерките, върху които си струва да съсредоточите усилието през първите 90 дни.

Мярка 1 - Управление на риска (най-често формално, не реално)

Какво се изисква: писмена политика за управление на риска, методология за оценка (обикновено ISO 27005 или NIST RMF), регистър на рисковете с поне три обновявания на година, и протокол от тримесечен преглед на ниво ръководство. Какво виждам най-често: PDF на политика отпреди три години, регистър от един работен лист, попълнен веднъж в края на 2024 г., и нула протоколи от прегледи. Минимално за съответствие: 16 идентифицирани риска покриващи целия обхват, тримесечни прегледи, документирани решения за приемане/намаляване/прехвърляне.

Мярка 4 - Сигурност на веригата за доставки (почти никой няма)

Какво се изисква: регистър на всички ИКТ доставчици с достъп до системи или данни (хостинг, имейл, ERP, MDR, видеонаблюдение, печатни услуги, доставчик на SAP, и т.н.), оценка на риска за всеки, договорни задължения за сигурност (вкл. право на одит), и периодична проверка. Какво виждам най-често: списък с пет имена и нищо повече. Минимално за съответствие: 30 до 80 регистрирани доставчика за средна компания, оценка с матрица „критичен/важен/обикновен", писмени въпросници (използваме SIG Lite на български), и преглед на ниво „критични" минимум веднъж годишно.

Мярка 5 - Сигурност при разработка и поддръжка (за всяка компания, която има свой ИТ продукт)

Какво се изисква: писмен жизнен цикъл на разработката (SDLC) с включени стъпки за сигурност (заплахи моделиране, прегледи на код, статичен анализ, динамичен анализ, тестване преди продукция), управление на уязвимости с категорийни срокове за отстраняване (например критични - 7 дни, високи - 30 дни), и тестване на сигурността на собствените приложения минимум веднъж годишно. Какво виждам най-често: имейл от мениджъра към екипа „следете за сигурност" и един IT pentest от преди две години. Минимално за съответствие: документиран SDLC, инструменти за статичен анализ (Semgrep, SonarQube), управление на уязвимости (DefectDojo, Jira), и годишен външен пентест.

Мярка 6 - Оценка на ефективността (рядко съществува формално)

Какво се изисква: дефинирани показатели за всяка мярка (например „% от служителите, преминали обучение", „среден брой пропуснати критични уязвимости", „медианно време за решаване на инцидент"), регулярен преглед на тези показатели от ръководството, и документиран вътрешен одит на цялата програма за киберсигурност минимум веднъж годишно. Какво виждам най-често: нищо. Минимално за съответствие: 12 до 20 KPI, тримесечен преглед, годишен вътрешен одит с протокол и план за подобрения.

Мярка 10 - Управление на активите (мислят, че имат, но нямат)

Какво се изисква: пълен регистър на ИТ активите (хардуер, софтуер, бази данни, услуги), собственик за всеки, класификация по чувствителност, и процес за поддръжката на регистъра (включително при придобиване и при бракуване). Какво виждам най-често: списък в Excel от 2023 г., 30% от записите вече не отговарят на реалността. Минимално за съответствие: автоматизирано откриване (например Microsoft Intune, Lansweeper, Snipe-IT), процес за тримесечен преглед, и съответствие между регистъра и това, което реално работи в мрежата.

Мярка 13 - Обучение по кибер-хигиена (формално провеждано, не реално)

Какво се изисква: годишно обучение за всички служители, специализирано обучение за ИТ персонала и ръководството, симулиран фишинг минимум два пъти годишно, и доказателство за участие. Какво виждам най-често: едно еднократно обучение от 2024 г., без последвало или симулация. Минимално за съответствие: 100% участие на годишно обучение, симулиран фишинг с измерване на резултата и допълнителни обучения за пропадналите, специализирано обучение за разработчици по сигурно кодиране, и обучение за ръководството по новите задължения по закона.

Раздел 3

Останалите 7 мерки: бърз контролен лист

Останалите седем мерки обикновено са по-добре покрити в българските компании, защото съответстват на стандартни ИТ практики и/или вече са били част от изискванията на GDPR, ISO 27001 или други фреймуъркове. Това не означава, че трябва да ги пренебрегнете - означава, че градиш върху съществуваща основа.

Мярка Минимум за съответствие Често пропускано
2. Управление на инцидентиПисмен план, дежурен екип, шаблон на уведомление, тестов сценарий веднъж годишноВръзката към 24/72ч режим за докладване по чл. 17
3. Непрекъсваемост и бекъпDR план с RTO/RPO за всяка критична система, тестване на възстановяване минимум веднъж годишноImутабилни (immutable) бекъпи, тест за възстановяване извън производствената среда
7. КриптографияTLS 1.2+ за всички външни услуги, BitLocker/LUKS за лаптопи, шифроване в покой на бази данни с лични данниУправление на ключове, документиран процес при компромет на ключ
8. Сигурност на персоналаСвидетелство за съдимост при наемане, NDA, процес за деактивиране на достъп в деня на напусканеЛог за всички действия по предоставяне и отнемане на достъп
9. Контрол на достъпаRBAC по роли, най-малка привилегия, тримесечен преглед на привилегировани акаунти, MFA за всички администраториПреглед на сервисни акаунти, изолация на админ работни станции
11. MFA и сигурни комуникацииMFA за всички VPN, SaaS, и привилегировани акаунти; имейл с DMARC/DKIM/SPF; защитен файлов трансфер за чувствителни документиFIDO2/фишинг-resistant MFA за критичен персонал
12. Гласови / видеокомуникацииVoIP с TLS/SRTP, защита от toll fraud, конферентни системи с пароли, авариен канал извън основната инфраструктураАвариен (out-of-band) комуникационен канал по време на инцидент
💵

Раздел 4

Колко струва изграждането на 13-те мерки

Числата по-долу са медиани от 8 текущи изпълнения, всички за български компании с между 100 и 500 служители, в обхвата на закона като съществен или важен субект. Малките компании (под 50 души) плащат значително по-малко в абсолютна стойност (типично 60 000 до 140 000 лв. в първата година), но изискванията остават същите.

Категория разход Първа година Втора година +
Консултантски разходи (политики, оценка, СМС, gap)40 000 - 110 000 лв.18 000 - 40 000 лв.
Виртуален CISO / DPO услуга24 000 - 72 000 лв.24 000 - 60 000 лв.
Технология: MFA, EDR, SIEM, vulnerability scanner35 000 - 95 000 лв.25 000 - 70 000 лв.
SOC / MDR услуга (за съществени субекти)48 000 - 96 000 лв.48 000 - 96 000 лв.
Бекъп инфраструктура (имутабилни бекъпи)12 000 - 35 000 лв.5 000 - 14 000 лв.
Обучения и симулиран фишинг (KnowBe4 / др.)6 000 - 18 000 лв.6 000 - 18 000 лв.
Външен пентест и оценка на ефективността8 000 - 24 000 лв.8 000 - 24 000 лв.
Вътрешно работно време (CISO/DPO/админи/обучение)35 000 - 80 000 лв.18 000 - 40 000 лв.
Общо (медиана)208 000 - 530 000 лв.152 000 - 362 000 лв.

Един важен нюанс: тези числа са „пълно построяване от нула". Голяма част от компаниите, с които работим, имат поне 30 до 50% от необходимото вече налично - например имат MFA, имат бекъп, имат антивирусна, имат някаква форма на обучение. Стойностите по-горе са преди тази редукция; средното реално допълнително инвестиране (delta) за компания, която вече има основна ИТ хигиена, е около 40 до 60% от цялата таблица.

Сравнение в перспектива: глобата за неизпълнение по чл. 21 е тежко нарушение и максималната санкция е до 10 000 000 лв. за съществените субекти и до 7 000 000 лв. за важните. Дори ако приемем средна санкция 250 000 лв. в първите няколко случая, разходът за изпълнение пак е по-нисък от очаквания разход за санкции, особено имайки предвид допълнителните разходи при инцидент (възстановяване, репутация, искове).

🕒

Раздел 5

Приоритизирана 12-месечна пътна карта

12-месечна пътна карта за съответствие 12-месечна приоритизирана пътна карта От влизане в обхвата до доказуемо съответствие с 13-те мерки М1-2 Оценка Gap анализ 13/13 Регистър на активи Обхват на субекта М3 Политики 13 политики Одобрение ръководство Тренинг роли М4 Бързи победи MFA навсякъде EDR на всички Имут. бекъп М5-6 Технология SIEM/MDR Vuln scanner DLP/Email Sec М7-8 Хора Обучения 100% Симулиран фишинг Спец. ИТ обучение М9-10 Тестове Пентест DR тест Tabletop инцидент М11-12 Одит Вътрешен одит 13/13 Доклад ръководство Готовност за МЕУ Принципи на пътната карта - Политиките се пишат преди инструментите. Без писмена политика 5 от 13-те мерки автоматично пропадат на проверка. - Бързите победи (MFA, EDR, имутабилен бекъп) идват в М4, защото намаляват най-много риск за най-малко пари. - Обучението не е еднократно. От М1 до М12 трябва да има поне 4 обучителни събития, документирани. - SOC/MDR услугата започва най-късно от М5, защото за М11 одит трябва да има минимум 6 месеца лог-история. - Пътната карта приема, че влизате в обхвата от Ден 1. Ако сте на М6 от тримесечието, компресирайте М1-3 в М1-2. - В М11-12 наемете външен оценител за независим одит. Не пишете сами доклада - няма да издържи пред МЕУ.
Фигура 2. Реалистична 12-месечна пътна карта за пълно изграждане на 13-те мерки. Шест месеца не са достатъчни; 18 месеца са твърде дълги.

Тази пътна карта има две слаби места, които си струва да отбележа. Първо, тя приема, че имате стабилна ИТ инфраструктура и реален ИТ персонал; ако ИТ е аутсорснат на малък локален МСП без вътрешен координатор, добавете 2 до 3 месеца отгоре за изграждане на вътрешния капацитет. Второ, тя не покрива секторно-специфичните допълнителни задължения (БНБ, КРС, МЗ), които могат да наложат по-строги срокове или допълнителни мерки. Проверете секторния си регулатор още в М1.

Как Atlant Security помага

Изпълнение на 13-те мерки от край до край

Провеждаме пълен цикъл - от gap анализ и писане на 13-те политики до техническа реализация и независим вътрешен одит - за български компании, попаднали в обхвата на новия Закон за киберсигурност. Старши консултант на всяка задача, никога юниори. Договорите ни са на български, плащане след всеки етап.

  • Първоначална оценка от 3 800 лв., доставена за 14 дни
  • Пакет „13 политики готови за подпис" от 9 800 лв.
  • Виртуален CISO услуга, гъвкаво ангажиране, от 4 200 лв./месец
  • Независим вътрешен одит и доклад за М11-12 готовност
  • Готови шаблони, регистри и контролни листове, адаптирани за български реалности

Запазете 30-минутна консултация →

Често задавани въпроси

Въпросите, които всяка седмица чуваме

Имаме ISO 27001. Покрива ли ни това за 13-те мерки?

Покрива около 75 до 85% от изискванията, в зависимост от обхвата на вашия СУСИ (Система за управление на информационната сигурност) и колко скорошен е сертификатът. Празнините са обикновено: специфичните 24/72-часови срокове за докладване по новия закон, договорните изисквания към доставчиците по мярка 4, и формалното включване на ръководството в тримесечен преглед (мярка 6). ISO 27001 е силна основа, но трябва да добавите делта-проект за около 60 до 120 хиляди лева.

Колко често ще ни проверяват?

Съществените субекти подлежат на проактивен надзор (планирани проверки) минимум веднъж на 2-3 години, плюс реактивен надзор (при инцидент или сигнал). Важните субекти подлежат на реактивен надзор основно - проверките им се пускат след инцидент, сигнал, или поискване от друг орган. На практика очаквайте първата проверка между Q3 2026 и Q2 2027 за съществените; за важните може да минат години без проверка, ако нямате инцидент.

Може ли да аутсорснем целия процес?

Можете да аутсорснете 80% от работата, но 20% трябва да остане вътре в компанията - и тези 20% включват най-важните решения: одобрението на политиките от ръководството, назначаването на отговорно лице по сигурността (CISO или координатор), участието в тримесечния преглед на риска, и докладването на инцидент. Това е законово задължение, което не може да се прехвърли към доставчик. Виртуалният CISO модел е добър компромис: външен експерт изпълнява задачата, но действа от името на компанията със собствена електронна поща и роля.

Какви документи реално носи проверяващият при инспекция?

Стандартен пакет: списък с искани документи (13 политики, регистри, протоколи), въпросник от около 60 въпроса (близо до SIG Lite), пълномощно и заповед за проверка, и контролен лист на проверяващия. Очаквайте първи ден - интервюта с ИТ, CISO, ръководство и юрист; втори ден - технически прегледи и проверки на конфигурация; трети ден (ако е необходим) - проследяване на отворени въпроси. Резултатите се обявяват с протокол в срок до 30 дни.

Какво се случва, ако не сме готови до 1 юни 2026 г.?

Технически след 1 юни сте в нарушение, ако сте в обхвата като субект. Практически: МЕУ е заявил, че първата вълна проверки ще е „образователна" - първото нарушение се отбелязва с предписание и срок за отстраняване, не с глоба, освен ако нарушението не е тежко (например непосочване на координатор или пренебрегване на писмен сигнал за инцидент). Не разчитайте на това като стратегия - но ако имате основа и план, ще получите време. Ако нямате нищо, ще получите бърза глоба.

Какво е minimum-viable за компания на 30-40 души, която е „важен субект"?

За 30 души „важен субект" реалистичното minimum-viable е: координатор (един човек, не задължително пълен CISO), 13 политики на минимална дължина (общо 30-40 страници, не 300), MFA навсякъде, EDR на всички крайни устройства, имутабилен бекъп, годишно обучение, симулиран фишинг два пъти годишно, тримесечен преглед на риска, и регистър на 10-15 доставчика. Бюджет: 35 000 до 80 000 лв. в първата година, 25 000 до 50 000 лв. след това. Това няма да ви направи перфектен; ще ви направи доказуемо съответстващ.

След като сте дочели дотук, надявам се, че разликата между „имаме антивирусна и бекъп" и „имаме доказуемо изпълнение на 13-те мерки" е по-ясна. Преходът между двете е реална работа за 9 до 14 месеца, не за един уикенд. Дори и да започвате днес, тримесечието от 1 юни 2026 г. още е в обхвата на „първа вълна" на МЕУ, в която ще получавате предписания, не санкции, ако имате план.

Конкретното, което препоръчвам, ако не сте започнали: оградете два часа в календара тази седмица за първи разговор по обхвата, и още един за първоначална оценка на 13-те мерки със собствените ви хора. Тези два часа са по-евтини от три месеца бавно строеж в грешна посока. Идете в раздел 5, разпечатайте картата на 13-те мерки, и я закачете в офиса. Видимостта променя поведението - забелязали сме го във всяка компания, която сме придружили през този преход.

Имате нужда от външен поглед или независима оценка? Запазете 30-минутна консултация или пишете директно на alexander@atlantsecurity.com.

Александър Свердлов

Александър Свердлов

Основател на Atlant Security. Автор на 2 книги за информационна сигурност, лектор по киберсигурност на най-големите конференции по киберсигурност в Азия и панелист на конференция на ООН. Бивш член на екипа за консултации по сигурността на Microsoft, външен консултант по киберсигурност в Емиратската корпорация за ядрена енергия.