Как да съответстваме на Директива (ЕС) 2022/2555 NIS2
Александър Свердлов
Анализатор по сигурността
💫 Ключови изводи
- NIS2 заменя първата директива NIS1 (2016) и значително разширява обхвата - от стотици на хиляди задължени субекти в ЕС
- Българските компании от 18 сектора с над 50 служители или над 10 млн. EUR оборот попадат в обхвата
- Глобите достигат до 10 млн. EUR или 2% от глобалния оборот за съществени субекти
- Изискванията включват: управление на риска, докладване на инциденти (24ч/72ч/30 дни), сигурност на веригата за доставки и лична отговорност на ръководството
- ISO 27001 покрива около 70-80% от техническите изисквания на NIS2, но не всичко
- Транспонирането в българското законодателство е в процес чрез актуализация на Закона за киберсигурност
През последните 18 месеца едно от най-честите запитвания, които получавам от българските компании, е: „Попадаме ли в обхвата на NIS2 и какво трябва да направим?“
Въпросът не е случаен. Директива (ЕС) 2022/2555, по-известна като NIS2, е най-мащабната регулация в областта на киберсигурността, приемана някога от Европейския съюз. Тя засяга над 160 000 организации в ЕС - включително стотици, вероятно хиляди в България.
И все пак, въпреки значимостта на директивата, голяма част от засегнатите компании все още не са предприели конкретни стъпки. Някои дори не знаят, че попадат в обхвата.
В това ръководство ще разгледам NIS2 от практическа гледна точка - не като юрист, а като консултант по киберсигурност, който ежедневно работи с компании по внедряване на подобни изисквания. Ще ви дам конкретен, стъпка по стъпка план за действие.
Основи
Какво е NIS2 и защо беше създадена?
Директива (ЕС) 2022/2555 за мрежова и информационна сигурност (NIS2) беше приета от Европейския парламент и Съвета на ЕС на 14 декември 2022 г. и влезе в сила на 16 януари 2023 г. Тя замества първата директива NIS (Директива (ЕС) 2016/1148), известна като NIS1.
Защо беше нужна нова директива? Защото NIS1 имаше сериозни недостатъци:
- Твърде тесен обхват - NIS1 засягаше само „оператори на съществени услуги“ и „доставчици на цифрови услуги“, като всяка държава-членка определяше сама кои компании попадат
- Неуеднаквено прилагане - различните държави-членки транспонираха директивата по различен начин, създавайки „пачуърк“ от изисквания
- Слаби санкции - липсваше хармонизиран режим на глоби, което намаляваше стимулите за спазване
- Недостатъчно управление на риска - изискванията бяха твърде общи и не отразяваха съвременния пейзаж на заплахите
NIS2 адресира всички тези проблеми. Ето ключовите разлики:
| Параметър | NIS1 (2016) | NIS2 (2022) |
|---|---|---|
| Обхват | 7 сектора, ~10 000 субекта в ЕС | 18 сектора, ~160 000+ субекта |
| Класификация | OES + DSP | Съществени + Важни субекти |
| Определяне на обхвата | Всяка държава решава самостоятелно | Единни критерии (size-cap rule) |
| Глоби | По преценка на държавите | До 10 млн. EUR / 2% оборот |
| Докладване на инциденти | 72 часа (без етапи) | 24ч + 72ч + 30 дни |
| Верига за доставки | Не е адресирана конкретно | Изрично изискване |
| Отговорност на ръководството | Не е посочена | Лична отговорност + обучение |
Защо това е важно за България?
България като член на ЕС е задължена да транспонира NIS2 в националното си законодателство. Това означава, че изискванията не са пожелателни - те ще станат закон. Компаниите, които не се подготвят навреме, ще се изправят пред значителни глоби и оперативни ограничения.
Обхват
Кои български компании трябва да спазват NIS2?
NIS2 въвежда т.нар. „size-cap rule“ (правило за размера) - автоматичен критерий, който определя дали една компания попада в обхвата. Ако вашата компания работи в някой от покритите сектори и е поне средно предприятие (50+ служители или 10+ млн. EUR годишен оборот), вие попадате в обхвата.
Съществени субекти (Essential Entities) - Анекс I
Съществените субекти са организации от секторите с най-висока критичност. За тях се прилага проактивен надзор (без да е необходим инцидент, за да бъдат проверени):
| Сектор | Примери в България |
|---|---|
| Енергетика | НЕК, ЕСО, ЧЕЗ Разпределение, EVN, Енерго-Про, АЕЦ Козлодуй |
| Транспорт | БДЖ, Летище София, пристанища Бургас/Варна, товарни оператори |
| Банков сектор | Всички лицензирани банки от БНБ, ДСК, Уникредит Булбанк, Райфайзен |
| Финансова инфраструктура | Централен депозитар, БФБ, платежни системи |
| Здравеопазване | Болници, НЗОК, фармацевтични компании, лаборатории |
| Питейна вода | Софийска вода, ВиК дружества |
| Отпадъчни води | Пречиствателни станции |
| Цифрова инфраструктура | IXP, DNS, TLD регистри, дейта центрове, CDN, облачни доставчици |
| Управление на ИКТ услуги (B2B) | Managed service providers (MSP), managed security service providers (MSSP) |
| Публична администрация | Министерства, агенции, ДАЕУ |
| Космически сектор | Оператори на наземна инфраструктура |
Важни субекти (Important Entities) - Анекс II
Важните субекти подлежат на реактивен надзор (проверяват се при инцидент или сигнал). Секторите включват:
- Пощенски и куриерски услуги - Български пощи, Еконт, Спиди
- Управление на отпадъци - оператори на депа и рециклиращи предприятия
- Химическа промишленост - производство, съхранение, дистрибуция
- Хранително-вкусова промишленост - големи производители и дистрибутори
- Производство - медицински изделия, компютри, електроника, машиностроене, автомобилостроене
- Цифрови доставчици - онлайн пазари, търсачки, социални платформи
- Научноизследователска дейност - изследователски организации
⚠️ Внимание: Изключения от правилото за размера
Някои организации попадат в обхвата на NIS2 независимо от размера си: доставчици на DNS услуги, TLD регистри, доставчици на удостоверителни услуги (qualified trust services), телекомуникационни оператори и публична администрация. Дори малка компания, предоставяща DNS или cloud услуги, може да бъде задължен субект.
Българският контекст: институции и транспониране
В България ключовите институции, свързани с NIS2, са:
- Министерство на електронното управление (МЕУ) - координиращ орган за киберсигурност на национално ниво
- CERT България (CERT.BG) - национален екип за реагиране при инциденти, към когото се докладват киберинциденти
- КЗЛД (Комисия за защита на личните данни) - при инциденти, засягащи лични данни, паралелно задължение за докладване по GDPR
- Закон за киберсигурност - основният национален закон, който транспонира NIS директивите; предстои актуализация за NIS2
Крайният срок за транспониране на NIS2 в национално законодателство беше 17 октомври 2024 г. Към март 2026 г. процесът в България все още е в ход - подобно на повечето държави-членки. Независимо от статуса на транспонирането, компаниите следва да се подготвят сега, тъй като изискванията ще бъдат приложени ретроактивно към датата на транспониране.
Изисквания
Основни изисквания на NIS2 (Член 21)
Член 21 на директивата определя минималния набор от мерки за управление на риска за киберсигурността. Нека разгледаме всяка от тях подробно:
1. Политики за анализ на рисковете и сигурност на информационните системи
Не е достатъчно да имате антивирусна програма и firewall. NIS2 изисква формализиран, документиран процес за идентифициране, анализ и управление на рисковете. Това означава:
- Регулярна оценка на рисковете (поне веднъж годишно и при значителни промени)
- Документирани политики за информационна сигурност
- Класификация на активите и информацията
- Определяне на приемливо ниво на риск
2. Обработка на инциденти
NIS2 въвежда тристепенна система за докладване на инциденти:
| Етап | Срок | Какво трябва да включва |
|---|---|---|
| Ранно предупреждение | 24 часа | Уведомление, че е възникнал значителен инцидент; дали се подозира злонамерено действие; дали може да има трансгранично въздействие |
| Уведомление за инцидент | 72 часа | Актуализация с предварителна оценка на инцидента, тежест и въздействие, индикатори за компрометиране (IoC) |
| Финален доклад | 30 дни | Подробно описание на инцидента, основна причина, предприети мерки, трансгранично въздействие |
Практическа реалност
24 часа е изключително кратък срок. Ако нямате предварително подготвен план за реагиране при инциденти, шаблони за докладване и определени отговорни лица, няма да успеете да спазите този срок. Подготовката трябва да започне преди инцидентът да се случи.
3. Непрекъснатост на дейността и управление на кризи
Организациите трябва да имат планове за непрекъснатост на дейността (BCP), планове за възстановяване при бедствия (DRP) и процедури за управление на кризи. Това включва резервни копия, планове за възстановяване и тестване на тези планове.
4. Сигурност на веригата за доставки
Това е едно от най-значимите нововъведения на NIS2. Организациите трябва да:
- Оценяват киберсигурността на своите доставчици и подизпълнители
- Включват изисквания за сигурност в договорите с доставчици
- Мониторират рисковете по веригата за доставки непрекъснато
- Оценяват качеството на продуктите и практиките за киберсигурност на доставчиците си
5. Сигурност при придобиване, разработка и поддръжка на мрежови и информационни системи
Включително обработка и разкриване на уязвимости (vulnerability disclosure). Ако разработвате софтуер или използвате custom системи, трябва да имате процес за управление на уязвимостите.
6. Оценка на ефективността на мерките за управление на риска
Не е достатъчно да внедрите мерки - трябва да тествате и оценявате дали работят. Това включва penetration testing, одити на сигурността и regular security assessments.
7. Основни практики за кибер хигиена и обучение
NIS2 изрично изисква обучение на служителите по въпросите на киберсигурността. Това не е просто „добра практика“ - това е правно задължение.
8. Криптография и криптиране
Политики и процедури за използване на криптография и, когато е уместно, криптиране на данни в покой и при пренос.
9. Сигурност на човешките ресурси и контрол на достъпа
Управление на достъпа, многофакторна автентикация (MFA), управление на привилегировани акаунти и политики за сигурност на служителите.
10. Отговорност на ръководството (Член 20)
⚠️ Лична отговорност на управителите
Член 20 е безпрецедентен: ръководните органи (управителен съвет, управител, изпълнителен директор) носят лична отговорност за одобряване на мерките за управление на риска и за надзора на тяхното прилагане.
Ръководството трябва да преминава обучение по киберсигурност и да осигурява обучение за служителите. Незнанието вече не е извинение - то е нарушение.
Санкции
Глоби и санкции при неспазване
NIS2 въвежда хармонизиран режим на санкции, подобен по структура на GDPR. Глобите са значителни и зависят от категорията на субекта:
| Категория | Максимална глоба | Допълнителни мерки |
|---|---|---|
| Съществени субекти | 10 000 000 EUR или 2% от глобалния годишен оборот (което е по-високо) | Временно спиране на сертификации, забрана за упражняване на управленски функции |
| Важни субекти | 7 000 000 EUR или 1,4% от глобалния годишен оборот (което е по-високо) | Задължителни одити, разпореждания за съответствие |
Но глобите не са единственият риск. NIS2 предвижда и:
- Временно спиране на дейности - компетентните органи могат да разпоредят спиране на определени дейности до отстраняване на нарушенията
- Публично оповестяване - решенията за нарушения могат да бъдат публикувани, което е репутационен удар
- Лична отговорност - физическите лица, упражняващи управленски функции, могат да бъдат подведени под лична отговорност
- Забрана за заемане на ръководна длъжност - при повторни нарушения, за съществени субекти
Какво означава това на практика?
За българска компания с оборот от 50 млн. EUR максималната глоба би била 1 000 000 EUR (2% от оборота). За компания с оборот от 500 млн. EUR - 10 000 000 EUR. Плюс репутационните щети, загубата на клиенти и потенциалната лична отговорност на управителите.
Пътна карта
Стъпка по стъпка: Пътна карта за съответствие с NIS2
Въз основа на нашия опит с десетки компании, ето практическия план за постигане на съответствие с NIS2:
Стъпка 1: Gap анализ (Седмици 1-4)
Първата стъпка е да разберете къде се намирате сега спрямо изискванията на NIS2. Gap анализът включва:
- Определяне дали попадате в обхвата (съществен или важен субект)
- Преглед на съществуващите политики, процедури и технически контроли
- Идентифициране на пропуските спрямо чл. 21 на NIS2
- Приоритизиране на действията по критичност и сложност
- Изготвяне на доклад с конкретни препоръки и timeline
Стъпка 2: Оценка на рисковете (Седмици 3-8)
- Инвентаризация на информационните активи
- Идентифициране на заплахите и уязвимостите
- Оценка на вероятността и въздействието
- Разработване на план за третиране на рисковете
- Документиране на приемливото ниво на остатъчен риск
Стъпка 3: Разработване на политики и процедури (Седмици 6-14)
- Политика за информационна сигурност
- Политика за управление на инциденти
- План за непрекъснатост на дейността (BCP) и възстановяване при бедствия (DRP)
- Политика за сигурност на веригата за доставки
- Политика за контрол на достъпа
- Политика за криптография
- Процедури за управление на уязвимостите
- Политика за обучение на служителите
Стъпка 4: Внедряване на технически контроли (Седмици 8-20)
- Внедряване на MFA за всички критични системи
- Network segmentation и мониторинг
- Encryption at rest и in transit
- SIEM или централизиран logging
- Vulnerability management програма
- Backup и recovery тестване
- Endpoint detection and response (EDR)
Стъпка 5: План за реагиране при инциденти (Седмици 10-16)
- Разработване на Incident Response Plan, съобразен с NIS2 сроковете
- Определяне на ролите и отговорностите (Incident Commander, Комуникации, Технически екип)
- Изготвяне на шаблони за докладване към CERT.BG
- Провеждане на tabletop exercises (симулации)
- Установяване на контакт с CERT.BG преди инцидент
Стъпка 6: Оценка на веригата за доставки (Седмици 12-20)
- Инвентаризация на всички критични доставчици
- Оценка на киберсигурността на ключовите доставчици (чрез въпросници, одити или сертификати)
- Актуализиране на договорите с клаузи за киберсигурност
- Разработване на процес за ongoing мониторинг
Стъпка 7: Обучение и осведоменост (Седмици 14-22)
- Обучение на ръководството - задължително по чл. 20, включва разбиране на рисковете и отговорностите
- Security awareness обучение за всички служители - фишинг, парола, социално инженерство
- Специализирано обучение за техническия екип - incident response, secure coding
- Документиране на обученията (дати, участници, теми)
Стъпка 8: Подготовка за одит и непрекъснато подобрение (Седмици 20-26)
- Вътрешен одит на съответствието
- Коригиращи действия по установените несъответствия
- Подготовка на доказателствена база
- Penetration testing и vulnerability assessment
- Установяване на процес за continuous improvement
Реалистични очаквания
За компания, която започва от нулата, пълното съответствие с NIS2 отнема 6-12 месеца. За компании, които вече имат ISO 27001, процесът може да се съкрати до 3-6 месеца. Ключовият фактор е ангажиментът на ръководството и наличието на вътрешни ресурси.
Сравнение
NIS2 срещу ISO 27001 срещу GDPR: Къде се припокриват?
Един от най-честите въпроси, които получавам: „Ако имаме ISO 27001, покрива ли NIS2?“ Краткият отговор: не изцяло, но значително помага. Ето детайлното сравнение:
| Изискване | NIS2 | ISO 27001 | GDPR |
|---|---|---|---|
| Оценка на рисковете | ✅ | ✅ | ✅ (DPIA) |
| Политики за сигурност | ✅ | ✅ | ✅ (чл. 32) |
| Докладване на инциденти | ✅ (24ч/72ч/30д) | ✅ (без срокове) | ✅ (72ч към КЗЛД) |
| Сигурност на веригата за доставки | ✅ (подробно) | ✅ (Annex A 5.19-5.23) | ✅ (чл. 28 DPA) |
| Непрекъснатост на дейността | ✅ | ✅ (Annex A 5.30) | ✅ (чл. 32.1.в) |
| Криптиране | ✅ | ✅ (Annex A 8.24) | ✅ (чл. 32.1.а) |
| Контрол на достъпа / MFA | ✅ | ✅ (Annex A 8.5) | 🔶 (непряко) |
| Обучение на служители | ✅ | ✅ (7.2, 7.3) | 🔶 (добра практика) |
| Лична отговорност на ръководството | ✅ (изрично) | 🔶 (5. Leadership) | ❌ |
| Обучение на ръководството | ✅ (задължително) | ❌ | ❌ |
| Управление на уязвимостите | ✅ | ✅ (Annex A 8.8) | ❌ |
| Глоби | До 10 млн. EUR / 2% | Няма (доброволен) | До 20 млн. EUR / 4% |
| Право на субекта на данни | ❌ | ❌ | ✅ (обширно) |
Моята препоръка
Ако нямате ISO 27001, започнете с NIS2 gap анализ и паралелно внедрете ISO 27001. Двата процеса се припокриват на 70-80% и могат да се изпълняват едновременно. ISO 27001 ви дава структуриран framework, а NIS2 допълва с конкретните регулаторни изисквания (срокове за докладване, отговорност на ръководството, глоби). Ако вече имате ISO 27001, фокусирайте се върху допълването на NIS2-специфичните изисквания.
Срокове
Хронология: Кога трябва да сте готови?
| Дата | Събитие | Статус |
|---|---|---|
| 16 януари 2023 | NIS2 влиза в сила на ниво ЕС | Завършено |
| 17 октомври 2024 | Краен срок за транспониране в национално законодателство | В процес (BG) |
| 17 април 2025 | Списък на съществени и важни субекти (всяка държава) | Предстои (BG) |
| 2025-2026 | Очаквано приемане на българския закон, транспониращ NIS2 | Очаквано |
| 17 октомври 2027 | Преглед на функционирането на директивата от Европейската комисия | Планирано |
Не чакайте транспонирането
Много компании правят грешката да чакат финалния закон. Но NIS2 изискванията са вече ясни - те са в директивата. Националният закон ще определи конкретния компетентен орган и евентуални допълнителни изисквания, но минимумът е фиксиран на ниво ЕС. Компаниите, които чакат, ще се озоват в ситуация, в която имат месеци, а не години, за да постигнат съответствие.
Нашата помощ
Как Atlant Security помага за съответствие с NIS2
В Atlant Security сме работили с десетки компании в България и Европа по внедряване на регулаторни изисквания за киберсигурност - включително GDPR, ISO 27001, SOC 2, DORA и NIS2. Ето какво предлагаме конкретно за NIS2:
🔍 NIS2 Gap анализ
Пълен преглед на вашата текуща позиция спрямо изискванията на NIS2. Получавате детайлен доклад с пропуски, приоритизирани препоръки и реалистичен timeline. Обикновено 2-4 седмици.
📝 Разработване на политики и процедури
Изготвяме пълния комплект от политики, изискван от NIS2 - не generic шаблони, а документи, адаптирани към вашата компания, инфраструктура и бизнес контекст.
🔧 Внедряване на технически контроли
Помагаме за конфигуриране и внедряване на техническите мерки: MFA, SIEM, EDR, network segmentation, encryption, vulnerability management. Работим с вашия IT екип или самостоятелно.
🚨 Incident Response план и симулации
Разработваме план за реагиране при инциденти, съобразен с NIS2 сроковете. Провеждаме tabletop exercises с вашия екип, за да гарантираме, че планът работи на практика, а не само на хартия.
🎓 Обучение за ръководството и служителите
Специализирани обучения, покриващи изискването на чл. 20 за обучение на ръководството. Включва awareness програми за служителите и технически обучения за IT екипа.
🔗 Оценка на веригата за доставки
Оценяваме киберсигурността на вашите ключови доставчици, помагаме за актуализиране на договорите и изграждаме процес за ongoing мониторинг на third-party risk.
Често задавани въпроси
FAQ: NIS2 за българските компании
Нашата компания има 45 служители, но оборотът е над 10 млн. EUR. Попадаме ли в обхвата?
Да. Size-cap правилото е „или/или“ - достатъчно е да изпълнявате един от двата критерия (50+ служители ИЛИ 10+ млн. EUR оборот), за да попаднете в обхвата, при условие че работите в покрит сектор. С оборот над 10 млн. EUR вие сте най-малко среден субект.
Имаме ISO 27001 сертификация. Достатъчно ли е това за NIS2?
Не изцяло, но сте на 70-80% от пътя. ISO 27001 покрива повечето технически изисквания, но NIS2 добавя специфични изисквания: 24-часово ранно предупреждение, задължително обучение на ръководството, по-строги изисквания за верига за доставки и лична отговорност на управителите. Ще трябва да допълните няколко ключови области.
Къде докладваме инцидентите в България?
Към CERT България (CERT.BG), който функционира като национален CSIRT. При инциденти, засягащи лични данни, паралелно докладвате и към КЗЛД съгласно GDPR (72 часа по чл. 33). NIS2 изисква уведомление до компетентния CSIRT и/или компетентния орган (определен от националния закон).
Какво означава „значителен инцидент“ по NIS2?
Инцидент е „значителен“, ако: (а) е причинил или може да причини сериозни оперативни смущения или финансови загуби; или (б) е засегнал или може да засегне физически или юридически лица, причинявайки им значителни щети. Всеки ransomware инцидент, data breach или DDoS атака, парализираща услугите, обикновено се квалифицира.
Като подизпълнител на компания в обхвата на NIS2, попадаме ли и ние?
Не автоматично - NIS2 се прилага директно към субектите в обхвата. Но вашите клиенти ще бъдат задължени да оценяват киберсигурността ви и да включват изисквания в договорите. На практика, ако сте доставчик на критични ИКТ услуги, ще трябва да покажете адекватно ниво на сигурност, за да запазите бизнес отношенията.
Какъв е реалистичният бюджет за NIS2 съответствие?
Зависи от текущото ви ниво на зрялост. За средно предприятие (100-250 служители): gap анализ: 5 000-15 000 EUR; политики и процедури: 8 000-25 000 EUR; технически контроли: 15 000-80 000 EUR (зависи от наличната инфраструктура); обучение: 3 000-10 000 EUR; ongoing поддръжка: 5 000-20 000 EUR/год. Общо: 36 000-150 000 EUR за първата година, значително по-малко при наличие на ISO 27001.
NIS2 изисква ли сертификация?
Не изрично. За разлика от ISO 27001, NIS2 не изисква формална сертификация от трета страна. Изисква се спазване на изискванията, което се проверява от компетентните органи чрез надзор и одити. Въпреки това, наличието на ISO 27001 или друга сертификация значително улеснява демонстрирането на съответствие. Европейската комисия може в бъдеще да въведе европейски схеми за сертификация по киберсигурност.
Каква е разликата между NIS2 и DORA?
DORA (Digital Operational Resilience Act) е специфичен за финансовия сектор (банки, застрахователи, платежни институции, инвестиционни посредници). NIS2 е по-широкообхватна и покрива 18 сектора. За финансовите институции DORA се прилага като lex specialis - т.е. има предимство в областите, които регулира, но NIS2 все пак може да се прилага за аспекти, които DORA не покрива.
Публикувано: Март 2026 · Автор: Александър Свердлов
Тази статия е с информативен характер и не представлява правен или професионален съвет. За конкретни въпроси относно NIS2 съответствие, моля свържете се с квалифициран консултант по киберсигурност или юрист.
Александър Свердлов
Основател на Atlant Security. Автор на 2 книги за информационна сигурност, лектор по киберсигурност на най-големите конференции по киберсигурност в Азия и панелист на конференция на ООН. Бивш член на екипа за консултации по сигурността на Microsoft, външен консултант по киберсигурност в Емиратската корпорация за ядрена енергия.