Ос 1: Сектор по Анекс 1 (висок риск) или Анекс 2 (важен)

Анекс 1 (11 сектора, водят до „съществен субект" при достатъчен размер): енергетика, транспорт, банкиране и финансови пазари, здравеопазване, питейна вода, отпадни води, цифрова инфраструктура (DNS, TLD, дата центрове, доставчици на облачни услуги, доставчици на електронни съобщителни услуги), управление на ИКТ услуги (управляеми услуги, MSSP), публична администрация, космос.

Анекс 2 (7 сектора, водят до „важен субект" при достатъчен размер): пощенски услуги, управление на отпадъци, химическа промишленост, храни (производство и дистрибуция), производство (медицински изделия, компютри, електроника, машини, превозни средства), цифрови услуги (онлайн пазари, онлайн търсачки, социални мрежи), научни изследвания.

Ос 2: Размер по ЕС определение за МСП

Микро (под 10 души И под 2 млн. EUR оборот/баланс): по правило извън обхвата.

Малка (10-49 души И до 10 млн. EUR оборот/баланс): по правило извън обхвата на размерния критерий, освен ако не попада в едно от 8-те специални обстоятелства.

Средна (50-249 души И до 50 млн. EUR оборот, или до 43 млн. EUR баланс): „важен субект" ако е в Анекс 1 или Анекс 2, „съществен субект" ако е в Анекс 1 и попада в подмножеството на „големи" по член 3 ал. 1.

Голяма (250+ души ИЛИ над 50 млн. EUR оборот ИЛИ над 43 млн. EUR баланс): „съществен субект" ако е в Анекс 1, „важен субект" ако е в Анекс 2.

Ос 3: 8-те специални обстоятелства (въвличат независимо от размера)

1. Единствен доставчик на услуга в страната или на териториален пазар (примерно регионална болница, единствен оператор на воден ВиК).
2. Услугата има потенциал за значителни икономически или социални смущения при прекъсване.
3. Доставчик на доверителни услуги (qualified trust service providers по eIDAS).
4. Регистратор на име на домейн от най-високо ниво (TLD registry).
5. Доставчик на услуги за разрешаване на DNS (DNS resolvers).
6. Публична администрация (общини, министерства, областни администрации) - без размер.
7. Доставчик на електронни съобщителни услуги.
8. Доставчик на доверителни услуги.

Въпрос 1: Сектор

Има ли вашата компания поне една от следните основни дейности (по код по КИД-2008 или по фактическа основна услуга)?

Производство и доставка на електроенергия, природен газ, питейна вода, обработка на отпадни води, банкови услуги, застрахователни услуги, инвестиционни услуги, болнична грижа, аптечна дейност, производство на лекарства, цифрова инфраструктура (хостинг, дата центрове, CDN, DNS, TLD регистрация), управляеми ИТ или сигурностни услуги (MSP/MSSP), пощенски услуги, управление на отпадъци, химическа промишленост, производство на храни в големи мащаби, производство на медицински изделия/компютри/електроника/превозни средства, онлайн пазари с над 100 000 потребители месечно, онлайн търсачки, социални мрежи, научни институти.

Ако ДА - продължете към Въпрос 3. Ако НЕ - към Въпрос 2.

Въпрос 2: Специално обстоятелство

Дори при ОТРИЦАТЕЛЕН отговор на Въпрос 1 - попада ли вашата компания под едно от следните:

Сте единствен доставчик на услуга в страната или в регион; вашето прекъсване би причинило значителни икономически или социални смущения; сте доставчик на доверителни услуги по eIDAS (qualified trust service provider); регистрирате имена на TLD домейн; предоставяте DNS resolvers; сте публична администрация; сте доставчик на електронни съобщителни услуги.

Ако ДА на което и да е - продължете към Въпрос 3. Ако НЕ - вие сте ИЗВЪН пряк обхват, но прескочете към Раздел 4 за верижното задължение.

Въпрос 3: Размер

Колко души заети имате към края на последната приключена финансова година (статистическа справка НСИ)? Колко е общият оборот за същата година? Колко е общият баланс?

Микро (под 10 души И под 2 млн. EUR): по правило извън обхвата дори при положителен Въпрос 1, освен ако „специално обстоятелство" по Въпрос 2 не въвлича.

Малка (10-49 души И до 10 млн. EUR): извън обхвата на размерния критерий, освен Въпрос 2.

Средна (50-249 души И до 50 млн. EUR оборот ИЛИ до 43 млн. EUR баланс): „важен субект" по Анекс 1 или 2.

Голяма (250+ души ИЛИ над 50 млн. EUR ИЛИ над 43 млн. EUR баланс): „съществен субект" по Анекс 1, „важен субект" по Анекс 2.

Въпрос 4: Двойно покритие (полезен филтър)

Ако стигнахте дотук с „вътре в обхвата" - подлежите ли вече на друг секторно-специфичен режим, който поглъща NIS2 изискванията?

DORA за финансовия сектор от 17 януари 2025 г.; банкови и застрахователни регламенти под надзора на БНБ и КФН; eIDAS за квалифицирани доставчици на доверителни услуги; CER (Directive on Critical Entities Resilience) за критични съоръжения; специфични режими за здравеопазване. Тези не освобождават напълно, но променят кой е компетентен орган и кои изисквания се прилагат пряко.

Въпрос 5: Краен изход

Комбинирайки Въпроси 1-4, попадате в едно от четирите: (а) Извън обхвата без верижно задължение; (б) Извън обхвата с верижно задължение от клиенти; (в) Важен субект; (г) Съществен субект. За (в) и (г) се изисква регистрация в МЕУ в срок 30 дни от установяване, плюс 13-те мерки до 1 юни 2026 г. За (б) се прилагат договорни клаузи по чл. 21 ал. 1 т. 4 на клиента.

Грешка 1: „Малки сме - не ни касае"

Компании с 20-49 души приемат, че попадат под прага и са извън обхвата. Но ако работят в сектор от Анекс 1 (например доставчик на управляеми ИТ услуги, MSSP, регионален болничен лекарски кабинет с обработка на болнични картони) и попадат под някое от 8-те „специални" обстоятелства, са вътре. Реален случай от април: 32-човешка фирма за поддръжка на пациентски системи за три областни болници - „специално обстоятелство" единствен доставчик в региона = въвлечена като важен субект.

Грешка 2: „Сме SaaS / B2B софтуер - значи цифрова инфраструктура"

SaaS компаниите често смятат, че попадат в „цифрова инфраструктура" по Анекс 1 (хостинг, дата центрове). Това НЕ е така - „цифрова инфраструктура" включва конкретни роли: хостинг доставчици, дата центрове, CDN, DNS, TLD registries, доставчици на доверителни услуги. Класически SaaS продукт (CRM, ERP, проектен мениджмънт, логистика) не попада тук. Може да попадне в Анекс 2, точка „цифрови услуги", ако предоставя онлайн пазар или социална мрежа с над определен прагов брой потребители. Иначе не. Реален случай: пловдивска SaaS логистика, 38 души - не в обхвата по Анекс 1 или 2, но получи 14-страничен въпросник от германски клиент с верижно задължение.

Грешка 3: „Имаме оборот над прага - сме съществени"

Размерният праг е необходимо, но не достатъчно условие. Компания с оборот 60 млн. EUR от строителство (не в Анекс 1 или 2) НЕ е в обхвата. Размерният критерий се прилага само СЛЕД като сте се класифицирали по сектор. Това е чест източник на излишни проекти за съответствие в строителни, търговски и услугови компании, които нямат основание да са в режима.

Грешка 4: „Аутсорсваме всичко - не носим отговорност"

Аутсорсването на ИТ инфраструктура на трета страна (Microsoft Azure, AWS, български хостинг доставчик) НЕ премахва задължението ви по NIS2 ако сте субект. Премахва оперативна работа, но отговорността остава ваша. Същото за делегиране на „длъжностно лице по сигурност" към външен партньор - назначавате го, но крайната отговорност е на представляващия (управителя). Това е аналогично на DPO режима по GDPR.

Грешка 5: „Не сме в обхвата - не правим нищо"

Това е огледалната грешка на първата. Компании, които са оценили, че НЕ са в пряк обхват, често пренебрегват верижното задължение, което техните корпоративни клиенти ще им наложат по чл. 21 ал. 1 т. 4. Резултатът: загубват сделки или клиенти през 2026 г. защото не могат да отговорят на стандартен въпросник за киберсигурност. Минималната подготовка (политики, MFA, бекъп, доказателство за тест на инциденти) струва около 22-48 хил. лв. и се изплаща с първия запазен клиент.

Форма 1: Сигурностен въпросник 30-200 въпроса

Стандартни шаблони: SIG (Shared Assessments), CAIQ (Cloud Security Alliance), или индивидуални от клиента. Германските и австрийските корпоративни клиенти често ползват „TISAX" или собствени версии. Очаквайте 4-12 часа работа за първото попълване, после reuse за следващите.

Форма 2: Договорни клаузи за сигурност

Стандартни клаузи в нови договори или при подновяване: задължение за уведомяване при инцидент в срок 24-72 часа, право на одит, поддържане на ISO 27001 или SOC 2 Type II, изисквания за конкретни мерки (MFA, криптиране, бекъп), задължение за реакция при vulnerability disclosure. Тези клаузи стават „по подразбиране" в български B2B договори от 2026 г.

Форма 3: Очакване за сертификация

Корпоративните клиенти все по-често изискват трета страна да е „атестирала" вашата сигурност. ISO 27001 (международен) или новата българска CSA Level 2 (за компании продаващи на български публичен сектор) са основните варианти. SOC 2 Type II е стандартът за компании продаващи в САЩ.

Сценарий 1: SaaS от 38 души, продава на корпоративни клиенти в ЕС

Класификация: Извън пряк обхват (не в Анекс 1 или 2). Верижно задължение от 3 големи клиенти, които са в обхвата по NIS2.

Какво направихме: Изградихме минимална жизнеспособна позиция за 70 дни. ISO 27001-съвместими политики (без официална сертификация), MFA във всички системи, EDR, имутабилен бекъп, документиран процес за инциденти. Подготвен trust portal с публикувани политики.

Цена: 34 000 лв. първа година. Резултат: Премина 3 корпоративни въпросника без блокери, запази 2 от 3 клиента, спечели нов клиент от Австрия 4 месеца след старта.

Сценарий 2: Производствена фирма 90 души, медицински изделия

Класификация: Важен субект по Анекс 2 (производство, медицински изделия). 90 души = средна, попада под размерния праг 50+.

Какво направихме: Регистрация в МЕУ в първите 15 дни. Назначен външен длъжностно лице (vCISO 4 часа седмично). 13-те мерки по чл. 21 с приоритизация на сегментацията на OT/IT мрежата (производствените машини изолирани от офис мрежата).

Цена: 142 000 лв. първа година, 88 000 лв. втора година. Резултат: Готова за инспекция към 1 юни 2026 г., преминала и одит по ISO 13485 без забележки в киберсигурностния раздел.

Сценарий 3: MSP компания 28 души, поддръжка на 14 SME клиенти

Класификация: Анекс 1, сектор „управление на ИКТ услуги". 28 души = малка, но специално обстоятелство „критичен доставчик за множество клиенти". Преценено като важен субект след консултация с МЕУ.

Какво направихме: Регистрация, инвентар на 14-те клиентски среди, оценка на риска per клиент. Засилена политика за достъп до клиентски среди (PAM с уникални креденциали). Доказан тест за инцидент включително симулиране на компрометиран MSP акаунт.

Цена: 88 000 лв. първа година. Резултат: Готова за инспекция, не са загубени клиенти, получени 4 нови клиенти, които изрично са посочили „искаме MSP с NIS2 готовност".

Сценарий 4: Логистична фирма 120 души, превоз и складиране

Класификация: Анекс 1, сектор „транспорт". 120 души = средна, важен субект.

Какво направихме: Регистрация, оценка на ИТ системи (TMS, WMS, GPS трасиране, телематика на камионите). Специално внимание на интеграцията между офис ИТ и телематичните системи на 45-те камиона. EDR на офис машините, специфични контроли за телематиката (изолирана мрежа, MFA на достъп до сървър за телематика, журнали).

Цена: 165 000 лв. първа година. Резултат: В съответствие към 1 юни 2026 г., намалена цена на cyber insurance с 28%.

Сценарий 5: Юридическа кантора 22 души

Класификация: Извън обхвата (не в Анекс 1 или 2, не „специално обстоятелство"). Никакъв пряк ангажимент по NIS2. Но: клиенти от финансовия сектор изискват сигурностен въпросник.

Какво направихме: Минимална подготовка за верижно задължение. Политика за информационна сигурност, MFA на всички акаунти, криптиране на пълни дискове, безопасно споделяне на документи, инцидент-уведомление към клиенти за 24 часа. Без регистрация в МЕУ, без 13-те мерки в пълния им обем.

Цена: 28 000 лв. първа година. Резултат: Премина 2 корпоративни въпросника, спечели нов клиент от банковия сектор, за който киберсигурностният статус беше решаващ фактор.

Имаме 45 души. Сме извън обхвата без значение от сектора?

Не автоматично. Размерният критерий „под 50 души И под 10 млн. EUR" е достатъчно условие за изключение САМО ако не попадате в едно от 8-те „специални" обстоятелства. Ако сте единствен доставчик за критичен клиент, или сте регистратор на доверителни услуги, или сте общинска администрация, или сте доставчик на електронни съобщителни услуги, размерът ви не ви освобождава. Преценката се прави съвместно по сектор + размер + специални обстоятелства.

Кой решава дали сме в обхвата - ние, МЕУ, или съдът?

Първоначалната самокласификация е ваше задължение. Регистрирате се в специалния регистър на МЕУ в срок 30 дни от установяване, че попадате. МЕУ има правомощие да преразгледа класификацията при противоречие. Ако МЕУ счита, че сте в обхвата, а вие не сте се регистрирали, имате 14 дни да оспорите или да се регистрирате. Окончателно решение - по реда на АПК и пред административен съд.

Какво се случва, ако пропуснем регистрация?

Член 56 ал. 1 т. 1 предвижда глоба от 5 000 до 200 000 лв. за непредоставяне на сведения за регистрация в специалния регистър в срок. Това е „технически" пропуск, не най-тежкото нарушение, но е достатъчно за глоба, която ще ви създаде административно досие. Регистрацията отнема около 2-3 часа, ако имате готови основни данни (КИД, оборот, брой служители, представляващ, лица за контакт по сигурност).

Има ли смисъл доброволно да се регистрираме, ако не сме в обхвата?

Не. Регистърът е за съществените и важните субекти. Доброволна регистрация на компания, която не е в обхвата, може да доведе до МЕУ да ви впише като субект и да започне да изисква изпълнение на 13-те мерки. Това е скъпа грешка. Ако искате да докажете на клиентите си, че сте сериозни към киберсигурността - вместо регистрация ползвайте външна атестация (ISO 27001, CSA Level 2, SOC 2 Type II) или публикуван trust portal.

Можем ли да аутсорснем съответствието изцяло?

Можете да аутсорснете изпълнението, не отговорността. vCISO, външен консултант, MSSP - всички тези роли работят. Но представляващият компанията (управителят) остава лично отговорен за решенията и за подписаните атестации. Това е аналогично на DPO режима: можете да назначите външен DPO, но решението кои данни се обработват и при какви правни основания остава ваше. За компания от 50 души аутсорсваният модел (vCISO 4 часа седмично + външен консултант за специфични проекти) е по-евтин и често по-ефективен от вътрешен щат.

Какво ще се случи, ако не сме готови до 1 юни 2026 г.?

Срокът 1 юни 2026 г. е краен за пълно съответствие. МЕУ е публично декларирало риск-базиран подход - първите инспекции през лятото и есента на 2026 г. ще целят съществените субекти и онези, които изобщо не са се регистрирали. За важен субект, който е се регистрирал, има политики, демонстрира план за изпълнение, реален напредък - санкция е малко вероятна в първите 6-9 месеца. Стратегията „минимално жизнеспособно съответствие до 1 юни + 12-месечен план за останалото, представен в МЕУ" е реалистична и работи в практиката. „Ще започнем като се обади МЕУ" - не работи и води до максимална глоба.