Назад към блога
Блог9 мин. четене

Регулациите за киберсигурност в България: какво трябва да знаете

A

Alexander Sverdlov

Анализатор по сигурността

28.10.2025 г.
Регулациите за киберсигурност в България: какво трябва да знаете

В България регулациите за защита на данните и киберсигурността се развиват бързо. Повечето компании вече знаят за GDPR и ЗЗЛД, но често подценяват задълженията по Закона за киберсигурност, както и практическите изисквания за реагиране при инцидент. Този материал събира на едно място основните правила, глобите при различни сценарии и реалната отговорност, когато данни изтекат заради хакерска атака или човешка грешка. В края ще видите и как Atlant Security може да ви изведе от режим на реакция към предсказуем контрол.

1. GDPR и ЗЗЛД: базовата хигиена е законово изискване

GDPR важи за всяка организация, която обработва лични данни на физически лица в ЕС. В България ЗЗЛД доразвива темата и КЗЛД е надзорният орган. При инцидент с лични данни имате до 72 часа да уведомите КЗЛД. Забавянето без основателна причина само по себе си е нарушение. cpdp.bg

Максималните глоби достигат 20 млн. евро или 4% от глобалния оборот - което е по-високото. У нас има вече и случаи с наказания в милионни левове, които показват, че регулаторът не се колебае при сериозни пропуски. cookieyes.com

Какво означава на практика:

  • Трябват ви работещи технически и организационни мерки - не само политика.

  • Регистър на обработванията, DPIA при рискови операции, договори с обработващи, план за инциденти и процес за уведомяване.

  • Доказуеми логове и процедури, които реално се изпълняват, защото при проверка КЗЛД иска доказателства, а не намерения.

2. Отговорност при пробив: хакери срещу човешка грешка

Съдът на ЕС прие по дело C-340/21, че дори когато пробивът е резултат от външна кибератака, пострадалите могат да търсят обезщетение, ако администраторът не е приложил адекватни мерки. Българската практика след инцидента в НАП показа именно това очакване за „подходящи мерки“ и отчетност. pontinova.la

Превод на човешки език: няма „вълшебно оправдание“ с хакери. Ако мерките ви са били формални, липсват логове, няма MFA, няма сегментация и бекапи, или хората не са обучени, рискът от отговорност остава висок.

3. Закон за киберсигурност: кого засяга и какво ще промени NIS2

Законът за киберсигурност прилага европейската рамка NIS към оператори на съществени услуги и доставчици на цифрови услуги. На национално ниво действат GovCERT и секторни структури за реагиране. LawNow

Какво следва с NIS2:

  • По-широк обхват на засегнатите предприятия.

  • По-строги изисквания за управление на риска и веригата на доставки.

  • По-високи санкции и по-ясни правомощия за контрол. Към 2025 финализирането у нас още е в ход, а ЕС пряко притиска държавите да приключат транспонирането. IBA

Ако сте сред засегнатите: подгответе процес за инцидентно уведомяване към компетентните органи, редовно тестване на мерките, договорни клаузи с доставчиците и доказателства, че контроли се изпълняват, не само „стоят на хартия“. dpc.bg

4. Секторни изисквания

  • Публичен сектор и е-управление: ИТ сигурността и отговорностите са уредени в специални актове. Санкциите при нарушения в администрация са по-ниски от GDPR, но проверките и медийният риск често са по-болезнени за репутацията. CMS Law

  • Финансов сектор: Правилата на БНБ и други надзорни органи въвеждат високи стандарти за защита и конфиденциалност. Контролът е постоянен. bnb.bg

5. Кога се глобява и колко

Ето най-честите сценарии и какво може да последва.

Сценарий Какво правите веднага Какво рискувате На какво ще гледа регулаторът
Пробив с лични данни Активирате план за инциденти, ограничавате вредите, уведомявате КЗЛД до 72 часа, информирате засегнатите при нужда Административни глоби по GDPR, искове за вреди Имали ли сте подходящи мерки и логове, бърза реакция и прозрачност
Човешка грешка води до изтичане Същото, плюс преглед на обучения и процедури Същите рискове, ако липсва обучение и контрол Доказателства за обучения, права на достъп, превенция на повторение
Пропуски при оператор на съществена услуга Уведомяване на компетентните органи и GovCERT, техническо овладяване Санкции по Закона за киберсигурност, с перспективи за по-строги санкции при NIS2 Управление на риска, доставка и трети страни, доказуеми тестове и уведомявания

6. Практически контролен списък за български компании

Това са минималните действия, които намаляват риска от глоби и повишават устойчивостта.

  1. Идентичност и достъп

  • MFA за администратори и чувствителни роли

  • Периодични прегледи на права и сегментация

  1. Логване и мониторинг

  • Централизирани логове за автентикация, админ промени и изнасяне на данни

  • Алерти, които водят до тикети и разследване

  1. Уязвимости и конфигурации

  • Автентифицирани сканирания и срокове за отстраняване

  • CIS базови конфигурации и проверка в облак

  1. Архиви и възстановяване

  • Непроменяеми бекъпи на ключови системи

  • Тримесечни тестове за възстановяване с измерени RTO и RPO

  1. Инцидентно реагиране

  • План, роли, контакт лист, шаблони за уведомяване

  • Упражнения и табли-топи по график

  1. Доставчици и договори

  • Дил-джилънс, клаузи за сигурност и уведомяване при инцидент

  • Списък на подизпълнители и оценка на риска

  1. GDPR оперативност

  • Регистър на дейностите, DPIA за висок риск

  • Процес за заявки на субекти и процедура за уведомяване до 72 часа

7. Какво ще донесе NIS2 и защо трябва да действате преди законът да е публикуван

NIS2 повишава летвата: по-широк обхват от сектори, по-детайлни изисквания към управление на риска, веригата на доставки и отчетността, както и по-високи санкции. Макар финализирането в България да се бави, ЕС вече подготвя действия срещу изоставащите държави. Компаниите, които подредят контролите си днес, утре ще спестят пари и нерви. Infosecurity Magazine

8. Защо Atlant Security е най-добрият партньор за българския пазар

Повечето доставчици ще ви дадат чеклист. Ние ще ви дадем работеща архитектура и защитени процеси, които издържат проверка.

  • От политика към доказателства: подготвяме политики, конфигурации и правим така, че логовете да говорят на езика на КЗЛД и НИС органите.

  • Техническа реализация: MFA, сегментация, SIEM, бекъпи и възстановяване, управление на уязвимости.

  • 24-72 часа оперативност: изграждаме шаблони и процеси за уведомяване към КЗЛД и към компетентните органи при НИС. cpdp.bg

  • Обучения и процедури: човешките грешки се намаляват чрез ясни ръководства и ролеви тренировки.

Ако не можете да го докажете с логове, тикети и протоколи, регулаторът приема, че го нямате.

Как работим за 30 дни

  • Седмица 1: бърза диагностика спрямо GDPR и НИС контроли, карта на рисковете и приоритетите

  • Седмици 2-3: прилагане на контролите с най-голям ефект и събиране на доказателства

  • Седмица 4: тест на възстановяване, упражнение по реагиране на инциденти, пакет за регулаторна готовност

Свържете се с Atlant Security и ще получите безплатен списък с 20 най-проверявани доказателства от КЗЛД и НИС органите в България.

Полезни връзки и източници

  • КЗЛД: уведомяване за пробив по чл. 33 GDPR и указания за срок от 72 часа. cpdp.bg

  • GDPR санкции: максимуми 20 млн. евро или 4% оборот. cookieyes.com

  • Прецедент за обезщетения след кибератака: дело C-340/21 на СЕС и българската практика. pontinova.law+1

  • Закон за киберсигурност и GovCERT. LawNow

  • NIS2: статут на транспониране и очаквани санкции. Infosecurity Magazine

  • Е-управление и санкции в свързани актове. CMS Law

  • БНБ: извадки за конфиденциалност и сигурност в сектора. bnb.bg

Александър Свердлов

Александър Свердлов

Основател на Atlant Security. Автор на 2 книги за информационна сигурност, лектор по киберсигурност на най-големите конференции по киберсигурност в Азия и панелист на конференция на ООН. Бивш член на екипа за консултации по сигурността на Microsoft, външен консултант по киберсигурност в Емиратската корпорация за ядрена енергия.