NIS2 за общините до 1 юни 2026 г.: какво трябва да направи всеки кмет до края на преходния период

1. Оценка на риска (чл. 21 ал. 1 т. 1)

Изисква се документирана оценка на риска за всеки актив и процес, която се преразглежда поне веднъж годишно. В средната община откриваме една обща „политика за управление на риска" от 2019 г. без приложение, без регистър на рисковете, без оценки. На проверка проверяващият иска да види регистър с поне 40 до 80 записи за община със 100 души администрация - идентификация, оценка на вероятност и въздействие, отговорник, мерки. Този регистър не може да се „произведе" за един следобед.

2. Реакция при инциденти (чл. 21 ал. 1 т. 2)

Документирана политика, ясно дефинирани роли, нощни телефони, разпределение между МЕУ-CSIRT и кмета, шаблони на 24-часовото и 72-часовото уведомление, доказателство за поне едно проведено учение. В типичната община има шаблон, който никой не е тествал. На реален инцидент е почти неминуемо изпускане на 24-часовия срок, защото никой не знае кой набира коя точка за контакт.

3. Сигурност на веригата за доставки (чл. 21 ал. 1 т. 4)

Общините имат десетки доставчици: общинско предприятие за софтуер, фирма за поддръжка на МДТ системата, лиценз на местния офис пакет, услуга за SMS-известия на гражданите, поддръжка на видеонаблюдение, IT-аутсорсинг, ERP, GIS, хостинг на сайта. Законът изисква документирана политика за оценка и наблюдение на тези доставчици, плюс конкретни клаузи в договорите. В практиката този раздел е празен в 100% от общините, които посещаваме при стартиране на ангажимент.

4. Обучение на ръководството (чл. 21 ал. 2)

Кметът, заместниците и общинският секретар са длъжни да преминат документирано обучение по киберсигурност. Това не е общо обучение „по противопожарна безопасност и киберсигурност" - изисква се специфично обучение с протокол, присъствен лист, и доказан учебен план. Без него проверяващият има директна форма за административно нарушение по чл. 56 ал. 1 т. 9 - до 50 000 лв. лично за кмета и до 1 000 000 лв. за общината.

5. Тестване на ефективността на мерките (чл. 21 ал. 1 т. 6)

Не е достатъчно да си купите EDR. Длъжни сте да тествате дали работи. Изисквания: тест на възстановяване от резервно копие поне веднъж годишно (с документиран резултат), тестово възпроизвеждане на сценарий за инцидент поне веднъж годишно, проверка дали MFA работи срещу „фалшиво кликване". Това е раздел, който почти никой в общините не прави, защото никой не знае как изглежда тестов протокол.

6. Криптография и многофакторно удостоверяване (чл. 21 ал. 1 т. 8 и т. 12)

Дискове на работни станции трябва да са криптирани (BitLocker или еквивалент). Електронната поща с лични данни трябва да е защитена. Достъпът до критични системи изисква MFA. В средната община намираме MFA само на админ-достъпа към домейн контролера; служителите ползват самостоятелни пароли, които сменят веднъж годишно. Пълното разпространение на MFA до всеки служител, който има достъп до МДТ, ЕСГРАОН-копие, бюджетни модули или АИС, е работа за 8 до 12 седмици в типична община.

1. Спецификация „консултантски услуги по NIS2" без конкретен обхват

Резултатът е обжалване и избор на най-ниска цена, която после се оказва само 30% от това, което общината реално нуждае. Решение: техническа спецификация по 13-те мерки, ясно посочване на доставимите документи (политики, регистър на риска, SSP, тестов план), посочване на брой човекодни.

2. Изискване на „опит с общинска администрация" без обективно дефиниране

Без референции и без конкретен брой проекти, всеки доставчик подава „да, имаме опит" и спорът отива в КЗК. Решение: изисквайте поне 2 референции от общини с население над 10 000 души за последните 36 месеца, с конкретен предмет, период и стойност.

3. Изискване само за сертификати на фирмата, не за хора

ISO 27001 на доставчика не означава, че хората, които ще работят с вас, разбират NIS2. Решение: изисквайте поименен състав, минимум един експерт с CISA / CISM / CISSP / ISO 27001 Lead Implementer и доказан опит в публичния сектор.

4. „Доставка и въвеждане" без условия за документиране

Доставчикът инсталира SIEM, но не оставя след себе си политика, която общината може да поддържа. Решение: задължителни доставими работни инструкции на български език, документация на конфигурацията, и протокол за пренос на знание към общинския IT-отговорник.

5. Конфликт на интереси: същият изпълнител прави и одита

Изпълнителят, който е изграждал системата, не може обективно да я оценява за съответствие. Решение: разделете консултирането от външния одит в отделни поръчки или клаузи.

6. Прекалено къс срок за изпълнение в спецификацията

„Срок: 90 дни от подписване на договор" е нереалистично за пълно изграждане на съответствие. Резултатът е или несериозни оферти, или сериозни оферти на висока цена за компенсиране на риска. Решение: декомпозирайте на етапи (одит на текущото състояние - 30 дни, изготвяне на план и политики - 60 дни, имплементация - 120 дни, тестване и атестиране - 30 дни), общо около 240 дни.

Сценарий 1: Малка община в Северозападна България (8 200 жители)

Започват с почти нулева отправна точка: един IT-отговорник на половин щат, един домейн контролер от 2018 г., без MFA, без EDR. Стратегията е „минимално жизнеспособно съответствие" с акцент върху регистрация в МЕУ, политики на хартия с реални процедури, MFA само за критичните 12 акаунта, споделени SIEM услуги на МЕУ, и едно учение за инцидент. Бюджет: 96 000 лв. първа година. Резултат: на 1 юни общината има документация и план, който може да се покаже на проверка.

Сценарий 2: Средна община в Тракия (38 000 жители)

Имат добра отправна точка: централизиран домейн, M365, частично MFA. Дефицитът е в документацията и веригата за доставки. Стратегията е „попълване на пропуските" с акцент върху регистър на риска, политики по 13-те мерки, договорни клаузи с 12-те най-важни доставчика, тест за проникване на основните системи, обучение на ръководството. Бюджет: 348 000 лв. първа година. Резултат: пълно съответствие на 1 юни с протокол за тестване.

Сценарий 3: Областен град в Югоизточна България (110 000 жители)

Имат вътрешна ИТ дирекция с 5 души, повече системи (МДТ, ЕСГРАОН копие, ГИС, ERP, БДКО), повече сгради. Стратегията е „институционализиране на ИБ функция" с акцент върху назначаване на CISO (вътрешен или vCISO), формална ICT-Risk комисия, връзка с ОЗОЛД, разделение на отговорностите между ИТ дирекцията и звеното за киберсигурност. Бюджет: 720 000 лв. първа година, 290 000 лв. втора. Резултат: пълно съответствие плюс операционен капацитет за поддръжка на режима.

Сценарий 4: Голяма столично-областна община (над 300 000 жители)

Сложна структура с десетки общински дружества и предприятия, някои от които също попадат в обхвата. Стратегията е „общинска група" с акцент върху координация между общинска администрация и общинските дружества, единна политика за инциденти с разпределение на отговорност, групово договаряне на доставчици. Бюджет: над 1 200 000 лв. първа година. Резултат: координирано съответствие за целия общински сектор.

Сценарий 5: Малка община с активна ransomware атака (3 100 жители)

Реален случай от януари 2026: малка община открива криптирани файлове на бекъп сървъра. Стратегията е „реакция първо, съответствие след това". Изолация на засегнатите системи, докладване до CSIRT в първите 24 часа, паралелно възстановяване от офлайн копие (което е тествано в предходен ангажимент), използване на инцидента като база за политики и обучение. Бюджет: 78 000 лв. за реакция плюс 145 000 лв. за изграждане на остатъчното съответствие. Резултат: общината е функционална за 7 дни, в съответствие за 6 месеца.

Малка община сме, имаме само 20 души администрация. Наистина ли сме съществен субект?

Да. Анекс 1 към Закона за киберсигурност включва „органите на местното самоуправление" без праг за размер. Това е съзнателно избран обхват от законодателя: дори малка община оперира критични за гражданите регистри (Местни данъци, Гражданско състояние, Социални услуги), управлява общинска собственост и движение на средства. Малките общини могат и трябва да ползват споделените услуги на МЕУ и националния CSIRT за намаляване на собствените разходи, но не могат да делегират отговорността.

МЕУ ще проверява всички 264 общини на 1 юни ли?

Не. Надзорните органи (МЕУ, ДА „Електронно управление") работят по риск-базиран план за инспекции. Първите проверки очакваме на общини с известни инциденти, общини в специфични сектори (с над 50 000 жители или с критични дейности), и общини, които не са се регистрирали в срок. Останалите ще бъдат проверявани на случаен принцип или след сигнал. Важното за тези общини: на проверка проверяващият не очаква перфекция, а доказуема добросъвестна работа с приоритети, документация и план.

Имаме европейски проект за дигитализация. Покрива ли той задълженията по новия закон?

Частично. Европейските проекти за дигитализация по програма „Цифрова трансформация" по НПВУ често финансират конкретни ИТ системи (например, нова МДТ, ГИС, портал за услуги). Те по дефиниция трябва да са „secure by design" и често включват елементи на сигурност, но рядко покриват пълния обхват на 13-те мерки. Преглеждайте конкретните дейности на проекта спрямо чл. 21 на закона и допълвайте липсващото. Не очаквайте, че един проект решава цялото съответствие.

Кметът ли носи лично отговорност или общинският секретар?

По чл. 56 ал. 2 на закона, личната отговорност за груба небрежност (до 100 000 лв. лична глоба, до 5 години забрана за управление) се носи от „представляващия субекта". За общините това е кметът. Общинският секретар обикновено се назначава като длъжностно лице за киберсигурност, носи дисциплинарна и административна отговорност в собственото си качество, но не и наказателно-административната отговорност за самата общност. Двете отговорности са паралелни, не алтернативни.

Можем ли да аутсорснем CISO функцията на външна фирма?

Да, в режим на „виртуален CISO" (vCISO). За общините това е често по-икономично от вътрешно назначаване, особено в малките и средните общини. Условията: договорът трябва да определя конкретен човек като отговорно лице, с документиран опит, конкретни часове за месеца, директен достъп до кмета, и клауза за независимост от ИТ доставчика. Външният CISO не освобождава общината от вътрешното назначаване на длъжностно лице, но може да играе ролята на това длъжностно лице по силата на договор за услуги.

Какво се случва, ако не успеем до 1 юни?

След 1 юни общината е в нарушение на закона. Това не означава автоматична глоба - тя зависи от проверка и съставяне на акт. Но създава административно-наказателна отговорност, която проверяващият може да реализира по преценка. Реалистичната стратегия: ако очевидно няма да успеете до 1 юни на 100%, изградете до тогава най-важните пет мерки (регистрация, длъжностно лице, политика за инциденти, регистър на риска, обучение на ОбС), напишете план за следващите 12 месеца с конкретни дати, и публично го представете на сесия на общинския съвет. При проверка ще покажете не „нарушение", а „в процес на изпълнение", което е значително по-добра административно-правна позиция.