Назад към блога
Регулации15 мин четене

Тест за обхват по NIS2: съществен субект, важен субект или извън обхвата? Практическо ръководство за български компании

A

Alexander Sverdlov

Анализатор по сигурността

8.05.2026 г.
Тест за обхват по NIS2: съществен субект, важен субект или извън обхвата? Практическо ръководство за български компании

Закон за киберсигурност · NIS2 · Май 2026

Тест за обхват по NIS2: съществен субект, важен субект или извън обхвата?

Седем от десет компании, които ни се обаждат от февруари насам, започват разговора с един и същи въпрос: „касае ли ни новият Закон за киберсигурност?". Отговорът зависи от два фактора - сектор и размер - плюс шепа изключения. Това е практическият тест, по който определяме обхвата за всяка компания за около 30 минути.

Най-важното накратко

  • Обхватът се определя по две оси: сектор (Анекс 1 или Анекс 2 на Директива (ЕС) 2022/2555) и размер на организацията (среден или голям).
  • Има две категории: „съществени субекти" (essential entities) и „важни субекти" (important entities). Те носят различни нива на санкция и надзор.
  • Работи правилото на палеца: Анекс 1 + голям = съществен; Анекс 1 + среден = важен; Анекс 2 = важен (рядко съществен). Има и изключения.
  • Някои дейности са винаги в обхвата, независимо от размера: ДНС оператори, регистратори на TLD, доставчици на удостоверителни услуги, държавна и общинска администрация, телекоми.
  • Глоби: до 20 000 000 лв. или 2% от световния оборот за съществени субекти; до 14 000 000 лв. или 1.4% за важни субекти. Лична отговорност на ръководството до 100 000 лв.
  • Ако сте извън обхвата, нямате законови задължения по този закон, но почти със сигурност ще получавате договорни искания от клиенти, които са в обхвата.

През март ни се обади собственикът на софтуерна компания в София. Двадесет и трима служители, годишен оборот 4 млн. лв., разработват SaaS платформа за управление на болнични процеси. Четирима от клиентите им са болници, два от тях държавни. Юристът на компанията им беше казал: „Не знам дали сте задължени по новия закон. Може и да не сте, но клиентите ви със сигурност са". Искаха ясен отговор за 30 минути.

Отговорът се оказа двупластов. Компанията сама по себе си беше извън прекия обхват - твърде малка по размер и не попадаше в специалните винаги-в-обхвата категории. Но шест от деветте им клиенти бяха съществени субекти по Анекс 1 (здравеопазване), което означава, че договорните клаузи за управление на риска във веригата на доставка щяха да достигнат до тях през следващите три до шест месеца. Те бяха „индиректно в обхвата", и това е положение, което изисква по-различен план от прекия обхват.

В тази публикация ще разгледаме как се прави този тест систематично. Ще ви покажа точните прагове, изключенията, които повечето юристи пропускат, и как изглежда отговорността по веригата на доставка от двете страни на договора. В края ще намерите пет реални сценария за български компании - от община до семейна фирма - и какво означава законът за всяка от тях.

📊

Стъпка 1

Двете оси, по които се определя обхватът

Тестът има точно две променливи. Първата е сектор: дали дейността на организацията попада в Анекс 1 (сектори с висока критичност) или Анекс 2 (други критични сектори) на Директива (ЕС) 2022/2555. Втората е размер: дали компанията е средна (от 50 до 249 служители или годишен оборот от 10 до 50 млн. евро) или голяма (250+ служители или оборот над 50 млн. евро).

Малките и микро организации (под 50 служители и под 10 млн. евро оборот) по принцип са извън обхвата, освен ако не попадат в една от винаги-в-обхвата категории. Микро (под 10 души, под 2 млн. евро) са по същия начин извън, със същото изключение.

Двете оси се пресичат и формират матрицата по-долу. Това е първата проверка, която правим на всяка дискусия за обхват.

Матрица сектор по размер - обхват по NIS2 Матрица: сектор × размер = категория По двете оси на Закона за киберсигурност Сектор / Размер Микро (<10 души) Среден (50-249) Голям (250+) Анекс 1 (висока критичност) Извън обхвата (освен изкл.) Важен субект Съществен субект Анекс 2 (други критични) Извън обхвата (освен изкл.) Важен субект Важен субект Винаги в обхвата DNS, TLD, телекоми, държавни органи Съществен субект (или важен, в зависимост от типа дейност) Размерът не променя категорията при тези дейности Прагове за размер (по чл. 2 от ЕС Препоръка 2003/361/ЕО): - Среден: 50-249 служители ИЛИ годишен оборот 10-50 млн. евро - Голям: над 250 служители ИЛИ годишен оборот над 50 млн. евро Прилага се по-високият от двата прага. Брои се към 31 декември на предходната година.
Фигура 1. Матрицата сектор × размер. Винаги-в-обхвата категориите променят правилото - там размерът няма значение.

Има едно техническо уточнение, което е лесно да се пропусне. Праговете са „или", не „и". Ако имате 60 служители и 12 млн. евро оборот, сте среден субект - изпълняват се и двете. Ако имате 60 служители и 8 млн. евро оборот, пак сте среден - първият праг е изпълнен. Ако имате 30 служители и 14 млн. евро оборот, отново сте среден - вторият праг е изпълнен. По-високият от двата прага определя категорията.

Брои се състоянието към 31 декември на предходната финансова година. Това има значение, защото компании в бърз растеж могат да преминат прага в средата на годината и формално да станат задължени едва от следващата 31 декември. В тези случаи препоръчваме да се действа изпреварващо - регулаторният тренд е към задължения по фактическа, не само по техническа размерност.

🌐

Стъпка 2

Какво съдържа Анекс 1 и Анекс 2

Двата анекса не са еднакви по тежест. Анекс 1 включва секторите, в които прекъсване на услугата има най-голям системен ефект върху обществото - енергетика, водоснабдяване, болници, банки, цифрова инфраструктура. Анекс 2 покрива сектори, които са важни, но при които прекъсване има по-локален ефект - производство, химическа промишленост, доставчици на цифрови услуги от типа на онлайн пазари и социални мрежи.

Анекс 1 - Сектори с висока критичност

11 сектора, в които големите компании по правило са „съществени субекти".

  • Енергетика (електроенергия, нефт, природен газ, водород, ВЕИ)
  • Транспорт (въздушен, ЖП, воден, автомобилен)
  • Банков сектор и финансова инфраструктура
  • Здравеопазване (болници, лаборатории, фармацевтични производители)
  • Питейна вода и отпадни води
  • Цифрова инфраструктура (IXP, DNS, TLD регистратори, облачни услуги, центрове за данни, мрежи за доставка на съдържание, доверителни услуги, електронни съобщителни мрежи)
  • Управление на ИКТ услуги от типа B2B
  • Държавна администрация (правителство, министерства, регионални органи)
  • Космически услуги

Анекс 2 - Други критични сектори

7 сектора, в които големите компании по правило са „важни субекти".

  • Пощенски и куриерски услуги
  • Управление на отпадъци
  • Производство, преработка и разпространение на химически вещества
  • Производство, преработка и разпространение на храни
  • Преработваща промишленост (медицински изделия, изчислителна техника, електроника, машини, моторни превозни средства, друг транспорт)
  • Доставчици на цифрови услуги (онлайн пазари, търсачки, социални мрежи)
  • Научно-изследователска дейност

Има няколко гранични случая, които често пораждат спорове. Производственото предприятие, което произвежда части за автомобилостроенето, е в Анекс 2. Софтуерната компания, която разработва вградени системи за тези автомобили, формално не е - но често попада индиректно през веригата на доставка. Семейната пекарна с 200 служители и 25 млн. лв. оборот е в Анекс 2 (хранителна индустрия). ВиК дружество с 80 служители е в Анекс 1, независимо от размера, защото е от Анекс 1.

Има и винаги-в-обхвата категории, при които размерът няма значение. Те са изброени в чл. 2, ал. 1 и ал. 2 на Директивата (и съответно в българския закон): доставчици на удостоверителни услуги, регистратори на TLD, доставчици на услуги за DNS, доставчици на електронни съобщителни мрежи и услуги, единични точки за обмен на интернет (IXP) и публична администрация. Микро и малки компании, които изпълняват тези дейности, са в обхвата.

Стъпка 3

Седем-стъпков тест за обхват

Минете през следните седем въпроса в посочения ред. Всеки въпрос или изключва по-нататъшни проверки, или ви води до следващия. На края имате категорично определение на статута.

Седем-стъпков тест за обхват по NIS2 Седем-стъпков тест за обхват 1. Винаги-в-обхвата дейност? DNS, TLD, телеком, държавна адм. 2. В Анекс 1 или Анекс 2? 18 сектора общо 3. Размер: микро/среден/голям? Прагове 50/250 или 10/50 млн. EUR 4. Прилагат ли се изключения? Микро в специален сектор 5. Установяване в България? или дейност тук с EU representative 6. Решение: съществен или важен? По матрицата от Стъпка 1 7. Регистрация при МЕУ в законовия срок Изход 1: ДА на 1 Винаги в обхвата. Категорията зависи от типа дейност. Прескочете до стъпка 7. Изход 2: НЕ на 2 Извън прекия обхват. Все пак проверете индиректните задължения по веригата на доставка. Изход 3: микро без изкл. Извън прекия обхват по размер. Проверете отново при ръст или промяна на дейността.
Фигура 2. Седем-стъпков тест за определяне на статута. Спирай на първото „ДА" в стъпка 1; иначе продължи надолу.

На стъпка 5 (установяване в България) е важно да се отбележи, че законът се прилага за организации, установени в България, а за организации без седалище тук - ако предлагат услуги на територията на страната и попадат в определени специални категории (главно цифрови услуги). Тогава са длъжни да назначат представител в ЕС, който да отговаря пред регулатора. Това засяга чужди SaaS компании, които продават на български клиенти.

Стъпка 7 (регистрация при МЕУ) е формалност, която обаче не бива да се пропуска. Министерството на електронното управление поддържа единен регистър на субектите в обхвата. След като определите, че сте задължени, разполагате с законовия срок за регистрация. Глобата за непровеждане на регистрация е отделна от санкциите за неспазване на минималните мерки.

🏪

Стъпка 4

Пет реални сценария за български компании

По-долу са пет сценария, които сме разглеждали в действителност от февруари 2026 г. насам. Имената и точните размери са променени; обхватът на анализа е реален.

Сценарий 1: Болница с 320 легла, 480 служители, държавна

Сектор: Анекс 1 (Здравеопазване). Размер: голям. Категория: съществен субект. Допълнително: като държавна институция, попада и в категорията „публична администрация" - двойно потвърждение.

Задължения: пълен набор минимални мерки, 24/72-часов протокол, регистрация при МЕУ, политика за управление на риска, ръководител на сигурността, обучения, договорни клаузи с всички ИКТ доставчици. Директна отговорност на директора до 100 000 лв.

Сценарий 2: Производствено предприятие, автокомпоненти, 180 служители, 35 млн. лв. оборот

Сектор: Анекс 2 (Преработваща промишленост, моторни превозни средства). Размер: среден. Категория: важен субект.

Задължения: минимални мерки и 24/72-часов протокол; надзорът е по принцип реактивен (след инцидент), а не превантивен както при съществените. Глобата е до 14 млн. лв. или 1.4% от оборота.

Сценарий 3: Софтуерна компания за SaaS, 23 души, 4 млн. лв. оборот, обслужва болници

Сектор: технически попада в категорията „доставчици на ИКТ услуги от типа B2B" (Анекс 1), но размерът е под прага. Категория: извън прекия обхват.

НО: шест от деветте им клиенти са съществени субекти, които ще започнат да изискват договорни клаузи за киберсигурност (24-часово уведомяване, минимални контроли, право на одит). Препоръка: подгответе „кибер-постура" - политики, ISO 27001 или отлично документирана сигурност - дори без законови задължения.

Сценарий 4: Община с 18 000 жители, 95 служители

Сектор: публична администрация (винаги-в-обхвата). Размер: няма значение. Категория: съществен субект.

Всички български общини са задължени по закона, независимо от размера. Това включва и най-малките. Задълженията включват пълен набор минимални мерки, регистрация, отговорност на кмета. Това е сегментът, в който очакваме най-много несъответствия и най-много въпроси през лятото на 2026 г.

Сценарий 5: Семейна пекарна, 60 служители, 8 млн. лв. оборот, един обект в София

Сектор: Анекс 2 (хранителна индустрия). Размер: среден (по служители) - 60 е над прага 50. Категория: важен субект.

Това е изненадата за много собственици: пекарни, мандри и месопреработвателни предприятия със среден размер са в обхвата. Задълженията са по принцип същите като при производственото предприятие - минимални мерки, 24/72-часов протокол - но обемът работа за компания с по-проста ИТ среда е по-малък. Реалистичен срок за съответствие при ангажимент: 6-8 седмици.

🔗

Стъпка 5

Когато сте „индиректно в обхвата" през веригата на доставка

Дори да сте формално извън обхвата, ако ваши клиенти са в обхвата и вие предоставяте ИКТ продукти или услуги, ще усетите закона през договорите. Член 21, ал. 2, т. 4 от Директивата (и съответно българският закон) изисква от съществените и важните субекти да оценяват и контролират сигурността на своите доставчици. Това на практика означава, че всеки от вашите клиенти-задължени субекти ще започне да предава задълженията надолу по договорни клаузи.

Трите най-чести договорни искания, които вече виждаме, са:

1. Уведомяване за инциденти в кратки срокове

Договорно задължение да уведомите клиента за всеки значителен инцидент в рамките на 24 часа от установяване, така че те да могат да изпълнят собствените си задължения по 24/72-часовия протокол. Това на практика означава, че трябва да имате процес за откриване и класификация на инциденти.

2. Минимални контроли по списък

Списък от 10 до 20 контроли, които се очаква да имате внедрени: MFA, криптиране на данни, политика за достъп, политика за инциденти, обучения, оценка на уязвимости, подобни. Често придружено с искане за независима атестация (одит на сигурността или сертификат тип ISO 27001).

3. Право на одит и проверки

Договорна клауза, която дава на клиента (и на регулатора му) правото да провери средата ви, да поиска документи и да изиска поправяне на установени слабости в определен срок. Това е стандартна клауза в банков сектор от години; сега се разпространява в здравеопазването и държавната администрация.

Подгответе се изпреварващо. Ако чакате клиентите ви да поискат тези клаузи и едва тогава да започнете да градите контроли, ще се окажете в режим на пожарогасене. Заместването на голям клиент е по-скъпо от всичко друго.

Как Atlant Security помага

30-минутен тест за обхват + 6-седмичен план за съответствие

Нашата услуга започва с 30-минутен безплатен тест за обхват: определяме точно дали сте съществен, важен или извън обхвата. Ако сте задължени, представяме реалистичен 6-8 седмичен план за минимална готовност до 1 юни 2026 г., включително регистрация в МЕУ, документация и въвеждане на 13-те мерки.

  • Тестът за обхват е безплатен и без обвързване
  • Готовност за 1 юни 2026 г. при ангажимент в следващите 14 дни
  • Senior консултант, не младши, на всяко взаимодействие
  • Документи на български и съответстващи на българската регулаторна терминология
  • Подкрепа и при индиректен обхват през веригата на доставка

Запазете 30-минутна консултация →

Често задавани

Въпроси, които чуваме всяка седмица

Ние сме малка компания. Можем ли просто да изчакаме да ни уведомят?

Не. Законът работи на принципа на самооценка. Очаква се вие самите да определите дали сте задължени и да се регистрирате при МЕУ в законовия срок. Ако пропуснете регистрацията и впоследствие настъпи инцидент или контролна проверка установи задължението, санкцията е по-голяма, отколкото ако се регистрирате доброволно. „Не знаех" не е защита.

Имаме 48 служители. Точно под прага. Извън обхвата ли сме?

Зависи и от оборота. Ако оборотът ви е под 10 млн. евро, тогава да - ще сте малка компания и обикновено извън прекия обхват, освен ако не попадате в винаги-в-обхвата категория. Ако оборотът е над 10 млн. евро, сте среден субект и попадате в обхвата по втория праг. Препоръчваме да направите формален тест с документиран резултат - това е защита и при контролна проверка, и при дискусия с одитори по бъдещи договори.

Имаме холдингова структура с 10 фирми. Брои ли се обединено?

Като правило всяка отделна компания се оценява самостоятелно по своята дейност и размер. Има изключения за свързани предприятия (по смисъла на ЕС определенията за свързани и партньорски предприятия) - в някои случаи размерите се консолидират. На практика повечето български холдингови структури се оценяват дъщерно по дъщерно. Препоръчваме картиране на всички дружества в групата и отделен тест за всяко от тях. Често се получава, че едно дружество е съществено, друго е важно, а трето е извън обхвата.

Чуждестранна SaaS компания сме, продаваме на български клиенти. Касае ли ни?

Зависи от типа дейност. Ако предоставяте определени цифрови услуги (онлайн пазар, онлайн търсачка, социална мрежа, доставчик на DNS, доставчик на CDN, облачни услуги, хостинг, доверителни услуги) и предлагате услугите си на територията на ЕС, тогава законът ви касае. Трябва да назначите представител в ЕС - юридическо или физическо лице, установено в България (или друга държава-членка), което да отговаря пред регулатора. За B2B SaaS, които не са от тези категории, обикновено има само индиректен обхват през договорите с български клиенти.

Каква е разликата между „съществен" и „важен" субект на практика?

Технически - същият списък от минимални мерки и същият 24/72-часов протокол за уведомяване. Разликите са в три области. Първо, съществените субекти са обект на превантивен надзор (МЕУ може да ги проверява без повод); важните субекти се проверяват реактивно (при инцидент или сигнал). Второ, максималните глоби са по-високи за съществените (20 млн. лв. или 2% от оборота срещу 14 млн. лв. или 1.4%). Трето, за съществените субекти регулаторът има право да налага по-широки временни мерки, включително забрана за определени отговорни лица да заемат ръководни позиции.

Какъв е срокът за регистрация при МЕУ?

До приключването на преходния период на 1 юни 2026 г. за компании, които вече са идентифицирали своя статут. За новоучредени компании или такива, които преминават прага по-късно - в рамките на 3 месеца от настъпването на задължението. Регистрацията се извършва по електронен път през портала на МЕУ. От февруари 2026 г. порталът е активен, а формулярите за регистрация са публикувани на сайта на министерството.

Ако след прочитането на тази публикация все още не сте сигурни към коя категория принадлежите, не сте сами. Седем от десет компании, с които работим от февруари насам, са имали поне един спорен елемент в анализа - граничен размер, гранична дейност, холдингова структура, чуждестранен елемент. 30-минутен разговор с консултант, който е чел закона и подзаконовите актове, е най-евтиният начин да получите ясен отговор и да не започнете шестседмичен план за съответствие, който всъщност не ви е нужен.

А ако вече знаете, че сте задължени, фокусирайте се не върху страха от санкциите, а върху практическата работа: регистрация, политика, мерки, обучения, доказуема готовност. Регулаторът, който идва при вас след инцидент, ще иска да види документи, не клетвени декларации.

Имате нужда от точен отговор? Запазете 30-минутна консултация или пишете на alexander@atlantsecurity.com.

Александър Свердлов

Александър Свердлов

Основател на Atlant Security. Автор на 2 книги за информационна сигурност, лектор по киберсигурност на най-големите конференции по киберсигурност в Азия и панелист на конференция на ООН. Бивш член на екипа за консултации по сигурността на Microsoft, външен консултант по киберсигурност в Емиратската корпорация за ядрена енергия.