Виртуален CISO за общината през обществена поръчка: как да напишете спецификацията, която не се обжалва

Общини · ЗОП · ЗКС · Виртуален CISO

Новият Закон за киберсигурност задължава всяка от 264-те български общини да има действаща функция по сигурност на информацията. Почти нито една не може да назначи квалифициран служител на щат. Легалното решение е виртуален CISO, възложен по реда на Закона за обществените поръчки. Но 7 от 10 общински спецификации за такава услуга се пишат така, че или се обжалват, или избират най-евтиния вместо най-подходящия. Това е практическият план за общинските секретари и юристи: коя процедура по ЗОП според стойността, какво задължително влиза в техническата спецификация, как да оцените офертите, шест грешки които водят до обжалване, и 60-дневен план от решение до подписан договор.

Основни изводи

• Всяка община е съществен субект по новия Закон за киберсигурност (ЗКС) и дължи действаща функция по управление на сигурността. Това не е препоръка, а задължение с пълни санкции от 1 юни 2026 г.
• Назначаването на CISO на щат е практически невъзможно за повечето общини: липсва бюджетна позиция, липсват кандидати с нужната квалификация, а конкурсът по ЗДСл отнема месеци. Виртуалният CISO (vCISO) покрива функцията законно и веднага.
• vCISO е услуга и се възлага по ЗОП. Редът зависи от прогнозната стойност на договора: под прага за услуги - директно възлагане; в средния диапазон - събиране на оферти с обява; над националния праг - публично състезание или открита процедура. Типичният общински договор за vCISO попада в средния диапазон.
• Най-честата и най-скъпа грешка е критерият "най-ниска цена" за експертна услуга. Той избира най-евтиния доставчик, не най-компетентния, и оставя общината с CISO на хартия. За vCISO правилният критерий е "оптимално съотношение качество/цена" с тежест на експертизата на конкретния специалист.
• Около седем от десет общински спецификации за киберсигурност, които сме виждали, съдържат поне една от шест повтарящи се грешки: ограничаващи конкуренцията изисквания, занижена прогнозна стойност, липса на ясни изисквания към персонала, или липса на дефинирани резултати. Всяка от тях е основание за обжалване пред КЗК.
• Реалистичният срок от решение на ръководството до подписан договор за vCISO е около 60 дни при процедура "събиране на оферти с обява". Започване след средата на април прави готовността преди 1 юни 2026 г. трудна, но все още възможна.

Новият Закон за киберсигурност определя всички общини като съществени субекти от сектор "Публична администрация". За съществения субект законът не предлага избор: ръководството отговаря за управлението на риска за киберсигурността, а това управление трябва да има конкретен носител. Не може рискът да се "управлява" от никого. Някой трябва да изготви оценката на риска, да поддържа политиките, да отговаря на инцидент, да докладва в законовите срокове, да обучава служителите и да отговаря пред проверяващия орган. Тази роля е функцията на CISO, независимо как е озаглавена в общинското щатно разписание.

Дотук теорията е проста. Практиката е там, където общините се удрят в стена. Има три отделни причини, поради които назначаването на квалифициран CISO на щат почти никога не се случва, и всяка от тях е реална.

Първо, бюджетът. Общинският бюджет за текущата година е приет. В него рядко има отделна, финансирана щатна бройка за специалист по киберсигурност. Създаването на нова позиция означава актуализация на щатното разписание и на бюджета, което е процес сам по себе си. А пазарната заплата на опитен специалист по сигурност е извън това, което общинската таблица за заплати позволява да се предложи.

Второ, кандидатите. Дори да има финансирана позиция, тя трябва да се запълни. Квалифицираните специалисти по киберсигурност в България са малко и са концентрирани в София и в големите частни работодатели и банки. Малка или средна община в провинцията, която предлага заплата по държавната таблица, на практика няма да получи подходящ кандидат. Това не е въпрос на желание, а на пазар.

Трето, времето. Назначаването на държавен служител минава през конкурс по Закона за държавния служител, със срокове за обявяване, кандидатстване и провеждане. От решение до реално зает човек на работното място минават месеци дори при идеален сценарий. Срокът 1 юни 2026 г. не чака конкурсна процедура.

Има и четвърта причина, която рядко се обсъжда, но е най-важната. Един щатен служител, дори квалифициран, е един човек с един профил. Функцията CISO в община изисква широк набор от умения наведнъж: оценка на риска, политики и документи, техническа конфигурация, реакция при инцидент, обучение, и опит как изглежда една проверка отвътре. Виртуалният CISO не е един човек, а старши специалист, зад когото стои екип и натрупан опит от десетки подобни ангажименти. Това е причината моделът да работи дори за община, която на хартия "има си компютърджия".

Изводът от този раздел е тесен и конкретен. Общината дължи функцията. Назначаването на щат за повечето общини не приключва навреме. Възлагането на vCISO по ЗОП приключва. Остатъкът от статията е за това как да възложите правилно.

Преди да напишете спецификация, трябва да знаете какво купувате. "Виртуален CISO" звучи абстрактно, а абстрактната поръчка е лоша поръчка. На практика vCISO за община е набор от конкретни, измерими резултати, доставени по график. Ако спецификацията изброи именно тези резултати, тя е защитима. Ако опише "консултантска подкрепа по киберсигурност" без да каже какво се получава накрая, тя не е.

Ангажиментът на vCISO за една община се разделя в два слоя. Първият слой е еднократното изграждане през първите месеци: документите и контролите, които трябва да съществуват, за да е общината готова за проверка. Вторият слой е текущата работа: ролята, която законът изисква да действа постоянно, не само да се появи веднъж.

Този разрез има пряко значение за поръчката. Договор за vCISO, който плаща само за слой 1, оставя общината с документи, но без действаща функция, и при проверка това проличава веднага. Договор, който плаща само за слой 2, предполага, че документите вече съществуват, а в повечето общини те не съществуват. Правилната поръчка купува и двата слоя: изграждане плюс поне 12 месеца текуща функция. Срокът на договора трябва да го отрази, а прогнозната стойност също.

Реален ориентир за стойност. За малка община ангажиментът обикновено е по-лек по обем, но същият по обхват на ролята. За средна община и за областен център обемът расте с броя на системите и служителите. Месечната цена на текущата функция плюс еднократното изграждане формират прогнозната стойност на договора, а тя на свой ред определя коя процедура по ЗОП е приложима. Точно това е темата на следващия раздел.

Законът за обществените поръчки не предписва един ред за всичко. Редът зависи от прогнозната стойност на поръчката, изчислена за целия срок на договора без ДДС. За услуга като vCISO това означава: месечната цена, умножена по броя месеци, плюс еднократното изграждане. Сборът ви насочва към един от три режима.

Директно възлагане. Когато прогнозната стойност е под прага за услуги, общината може да възложи договора директно, без открита процедура, обикновено чрез сключване на договор или приемане на оферта. Това е най-бързият път и за малка община с ограничен обхват той може да е достатъчен. Дори тук обаче техническата спецификация и очакваните резултати трябва да са ясно описани, защото договорът все пак трябва да се приеме и отчете.

Събиране на оферти с обява. Това е режимът, в който попада по-голямата част от общинските договори за vCISO, защото договор за изграждане плюс 12 или повече месеца текуща функция обикновено надхвърля прага за директно възлагане. Общината публикува обява в Централизираната автоматизирана информационна система "Електронни обществени поръчки", получава оферти в определен срок и ги оценява по предварително обявени критерии. Процедурата е по-лека от откритата, но изисква коректно написана спецификация и критерии за оценка.

Публично състезание или открита процедура. Когато стойността надхвърли националния праг, например при многогодишен договор за областен център с много системи, се прилага по-формална процедура с по-дълги срокове. Логиката на спецификацията остава същата; различават се сроковете, формалностите и обхватът на обжалваемост.

Техническата спецификация е сърцето на поръчката. Тя трябва да опише какво се купува достатъчно ясно, за да получите съпоставими оферти и да можете да приемете работата, и достатъчно неутрално, за да не ограничи незаконно конкуренцията. Това е тесен коридор, но е изпълним. Таблицата по-долу изброява елементите, които спецификацията за vCISO задължително трябва да съдържа, и какво се обърква, ако ги няма.

Не е нужно спецификацията да е дълга. Нужно е да е конкретна. Кратка спецификация, която изброява осемте елемента по-горе с ясни, измерими формулировки, е по-добра и по-защитима от двадесет страници общи приказки за "комплексна подкрепа по информационна сигурност". Краткото и конкретното печели и срещу проверка, и срещу обжалване.

След като спецификацията описва какво купувате, критериите за оценка решават кого избирате. Тук общините правят грешката, която струва най-скъпо, и я правят с добри намерения. ЗОП позволява поръчката да се възложи по критерий "най-ниска цена" или по критерий "оптимално съотношение качество и цена". За доставка на стоки с ясни спецификации най-ниската цена често е разумна. За експертна услуга като vCISO тя е капан.

Логиката е проста. Виртуалният CISO не е стока с фиксирано качество, при която единствената разлика между офертите е цената. Стойността на услугата зависи почти изцяло от това кой е човекът, който я предоставя, и какъв опит стои зад него. Критерият "най-ниска цена" прави този фактор невидим. Той награждава кандидата, който е готов да напише най-малкото число, а най-малкото число почти винаги означава най-малко часове на най-младши специалист. Общината плаща по-малко и получава функция, която изглежда запълнена в документите и се разпада при първата сериозна проверка или при първия реален инцидент.

Критерият "оптимално съотношение качество и цена" решава това. Той разпределя точки между цената и измерими показатели за качество. За vCISO разумните показатели за качество включват опита на конкретния предложен старши специалист, не само на фирмата, описан чрез години и брой сходни изпълнени проекти; яснотата и пълнотата на предложената методология; и предложения график на изпълнение. Цената остава важна и носи значима част от точките, но вече не е единственото нещо, което се брои. Резултатът е оферта, която общината може да защити пред всеки контролен орган, защото изборът е направен по същество, а не само по число.

Един практичен съвет за показателите за качество. Те трябва да са измерими и обективни, за да не дадат сами по себе си повод за обжалване. "Опит" като показател е твърде разтеглив. "Брой изпълнени проекти по управление на сигурността за публични органи през последните години" е измеримо и проверимо. Колкото по-обективен е показателят, толкова по-малко място за спор оставя оценката, и толкова по-сигурна е процедурата.

Около седем от десет общински спецификации за услуги по киберсигурност, които сме преглеждали, съдържат поне една от следните шест грешки. Всяка от тях е или основание за обжалване пред Комисията за защита на конкуренцията, или причина общината да получи изпълнител, който не върши работа. Всяка е и напълно избежима.

Общата нишка през шестте грешки е една: бързане без преглед. Поръчка за vCISO, изготвена под натиск от срока и пусната без преглед от човек, който познава едновременно ЗОП и предмета, почти винаги съдържа поне една от тези грешки. Един внимателен преглед преди публикуване струва няколко часа и спестява месеци забавяне от обжалване.

При процедура "събиране на оферти с обява" реалистичният срок от решение на ръководството до подписан договор е около 60 дни. Това не е догма, а наблюдение от практиката: при добре подготвена спецификация и без обжалване, два месеца стигат. Планът по-долу разпределя тези 60 дни в три фази.

Дни 1 до 20: подготовка. Ръководството взема решение и определя отговорник за поръчката. Описва се обхватът: брой системи, общински дружества, услуги. Изчислява се прогнозната стойност честно за целия срок и се избира режимът по ЗОП. Изготвят се черновата на техническата спецификация и критериите за оценка. Това е фазата, в която качеството на цялата процедура се решава.

Дни 21 до 45: процедура. Спецификацията минава преглед, при възможност от човек, който познава едновременно ЗОП и материята. Обявата се публикува в ЦАИС ЕОП. Тече срокът за подаване на оферти, по време на който общината отговаря на евентуални въпроси на кандидатите. Накрая офертите се получават и отварят.

Дни 46 до 60: оценка и договор. Комисията оценява офертите по предварително обявените критерии, класира кандидатите и ръководството взема решение. Кандидатите се уведомяват, изтича срокът за евентуално обжалване, и договорът се сключва. Изграждането на функцията може да започне веднага след подписа.

Едно честно предупреждение за сроковете. Този план приема, че процедурата протича чисто, без обжалване. Обжалването може да добави месеци. Точно затова времето, вложено в първата фаза, в чистата спецификация и в защитимите критерии, не е забавяне, а застраховка. Общината, която похарчи няколко допълнителни дни за преглед преди публикуване, почти винаги стига до подписан договор по-бързо от общината, която е бързала и е получила жалба.

Виртуален CISO за вашата община

Спецификация, която не се обжалва. Функция, която издържа проверка.

Помагаме на български общини да възложат виртуален CISO законно и навреме. Преглеждаме или изготвяме техническата спецификация и критериите за оценка, така че процедурата по ЗОП да е защитима, и изпълняваме ролята след това, с действаща функция и готовност за проверка. Започнете с кратък разговор, в който ще ви кажем реалистично какъв режим е приложим за вашата община.