Назад към блога
Регулации14 мин четене

Готови ли сте за 1 юни 2026 г.? Контролен лист за съответствие с NIS2 за български компании

A

Alexander Sverdlov

Анализатор по сигурността

6.05.2026 г.
Готови ли сте за 1 юни 2026 г.? Контролен лист за съответствие с NIS2 за български компании

Закон за киберсигурност · NIS2 · Май 2026

До 1 юни 2026 г. остават 26 дни. Готова ли е вашата компания?

Новият Закон за киберсигурност влезе в сила на 13 февруари 2026 г. Преходният период приключва на 1 юни 2026 г. Глобите достигат 20 000 000 лв. за компанията и 100 000 лв. лично за управителя. Това е практическият контролен лист, който ще ви помогне да стигнете до 1 юни без изненади.

Най-важното накратко

  • Законът обхваща 18 сектора (срещу 6 преди), включително всички български общини, болниците, ВиК дружествата, ЕРП-та, банки и софтуерни доставчици на критични услуги
  • Има две категории - „съществени субекти" и „важни субекти" - с различни задължения и нива на санкции
  • Срокове за докладване на инциденти: 24 часа за първоначално уведомление, 72 часа за пълен доклад
  • Глоби до 20 000 000 лв. или 2% от световния оборот, и лична отговорност на ръководството до 100 000 лв.
  • Минималните мерки покриват 13 области - от управлението на риска до сигурността на веригата на доставка и криптирането
  • Реалистично за 26 дни могат да се постигнат основните задължения, ако започнете незабавно с правилен приоритет

През април ни се обади IT директор на средно по размер българско производствено предприятие. Гласът му беше сдържано спокоен, по начина по който говорят хора, които току-що са разбрали, че проблемът е по-голям отколкото изглежда. Юристът на компанията му беше препратил публикацията в Държавен вестник от 13 февруари 2026 г. (бр. 17), с маркирана дата 1 юни. И с въпроса „това ли ни касае?".

Касаеше ги. Производствено предприятие, повече от 50 служители, годишен оборот над 10 млн. евро, доставчик на критичен компонент за енергийния сектор. Класификация: важен субект. Задължения: 13 области от минимални мерки за киберсигурност, регистър на инциденти, 24-часово уведомяване, политика за управление на риска, обучения, договорни клаузи с доставчиците на ИКТ услуги.

Нямаха почти нищо от това на хартия. Имаха IT отдел от трима души, добра антивирусна, едно фолдер с „процедури" в SharePoint и 26 дни до 1 юни. На същия ден започнахме работа. Това, което следва по-долу, е същият план, по който ги преведохме до готовност за крайния срок.

📝

Стъпка 1

Какво се промени с Закона за киберсигурност от февруари 2026 г.

Законът за изменение и допълнение на Закона за киберсигурност (обн. ДВ, бр. 17 от 13 февруари 2026 г.) транспонира Директива (ЕС) 2022/2555 (NIS2) в българското законодателство. С приемането му България изпълнява задължение, което всъщност е трябвало да изпълни до 17 октомври 2024 г. (закъснението не отменя задълженията на бизнеса - то само ускори ритъма на прилагане).

Най-важните промени, които трябва да познавате:

  • Разширен обхват: от 6 сектора (NIS1) на 18 сектора (NIS2), включително нови области като публична администрация, водопроводи, отпадни води, обработка на отпадъци, химическа промишленост, хранителна индустрия, производство, цифрови доставчици, изследвания.
  • Двустепенна класификация: „съществени субекти" (essential entities) и „важни субекти" (important entities) с различни нива на изисквания, надзор и санкции.
  • Лична отговорност на управлението: отговорност на членове на ръководни органи (управител, изпълнителен директор, борд) до 100 000 лв. при системни нарушения.
  • Минимални мерки за киберсигурност: задължителни мерки в 13 области, формализирани в подзаконов акт.
  • Срокове за докладване: 24 часа за ранно уведомление, 72 часа за пълен доклад, 1 месец за окончателен отчет.
  • Сигурност на веригата на доставка: задължение да се оценява и контролира сигурността на доставчиците на ИКТ продукти и услуги, включително клаузи в договорите.
  • Финансови санкции: до 20 000 000 лв. или 2% от глобалния годишен оборот за съществени субекти; до 14 000 000 лв. или 1.4% за важни субекти.
  • Нови правомощия на МЕУ: Министерството на електронното управление получава правомощия за надзор, проверки и забрана на определени приложения върху държавни устройства.
🌐

Стъпка 2

Кои са 18-те сектора в обхвата на закона

Класификацията се определя от два фактора: сектор, в който оперира субектът, и размер на организацията (брой служители и оборот). Има изключения при определени критични дейности, при които размерът няма значение - например регистраторите на TLD, доставчиците на услуги за DNS, обществените органи на национално и регионално ниво.

18-те сектора по Закона за киберсигурност (NIS2) 18-те сектора в обхвата на новия Закон за киберсигурност Сектори с висока критичност (горни 11) и други критични сектори (долни 7) СЕКТОРИ С ВИСОКА КРИТИЧНОСТ (Анекс 1) Енергетика Електро, газ, нефт, ВЕИ Транспорт Авиация, ЖП, водни, шосейни Банки и финанси Банки, ПИ, борси Здравеопазване Болници, ИЗ, фарма Питейна вода ВиК дружества Отпадни води ПСОВ оператори Цифрова инфраструктура DNS, IXP, дата центрове ИКТ услуги Управление, MSP Публичен сектор Общини, ведомства Космос Сателити, наземни Финансова пазарна инфраструктура CCP, CSD, борси на ценни книжа ДРУГИ КРИТИЧНИ СЕКТОРИ (Анекс 2) Поща и куриери Лицензирани оператори Управление на отпадъци Сметища, рециклиране Химическа промишленост Производство, дистрибуция Хранителна индустрия Произв., дистрибуция Производство Машиностр., авто, мед. Цифрови доставчици Marketplace, soc., търсачки Научни изследвания Изследователски организации с критични научни данни Съветваме: ако вашият сектор е в горните 11, очаквайте класификация „съществен субект". Долните 7 - обикновено „важен".
Фиг. 1. 18-те сектора, групирани от висока критичност (горни 11) към други критични сектори (долни 7).

Уникалното за България: всички 265 общини в страната попадат в обхвата като публични органи. Това на практика прави целия местен публичен сектор задължен субект - от Столична община до община с население под 5 000 души.

🎯

Стъпка 3

Съществен или важен субект - как да определите за себе си

Категорията определя нивото на надзор, размера на санкциите и честотата на проверките. Грешната самокласификация е първото нарушение, което Министерството на електронното управление ще установи. Ето как се определя:

Дърво на решения - съществен или важен субект Класификация: съществен или важен субект? Сектор от Анекс 1 (висока критичност)? Не - Анекс 2 Да Над 250 служители или над 50 млн. оборот? Над 250 служители или над 50 млн. оборот? Не Да Не Да Извън обхват (освен изключения) ВАЖЕН субект ВАЖЕН субект СЪЩЕСТВЕН субект Изключения, при които размерът няма значение: DNS-доставчици, регистратори на TLD, доставчици на доверителни услуги (eIDAS), всички общини и централни органи на власт, единствените доставчици в сектор - винаги са „съществен субект".
Фиг. 2. Опростено дърво на решения за класификация. Реалната оценка изисква и проверка на специфични изключения по чл. 4а от закона.

Стъпка 4

13-те минимални мерки за киберсигурност

Минималните мерки са формализирани в подзаконов акт и обхващат 13 области. Всяка организация в обхвата на закона е длъжна да приеме политики, процедури и технически контроли по всяка от тях, документирани и одобрени от ръководството.

Област Какво трябва да имате
1Управление на рискаПолитика за управление на риска, методология, регистър на рисковете, оценка минимум веднъж годишно.
2Управление на инцидентиРегистър на инциденти, процедура, дежурен контакт 24/7, шаблон за докладване в МЕУ.
3Непрекъснатост на дейносттаBCP/DR план, тестване минимум веднъж годишно, RPO/RTO целеви стойности.
4Сигурност на веригата на доставкаОценка на доставчиците, договорни клаузи за сигурност, преглед на критичните доставчици.
5Сигурност на придобиването, разработката и поддръжкатаSecure SDLC, управление на уязвимостите, политики за пач мениджмънт.
6Оценка на ефективността на меркитеМетрики за киберсигурност, годишен преглед, KPI, доклади до ръководството.
7Обучение и осведоменостЗадължителни обучения за всички служители, специализирано обучение за ръководство, фишинг симулации.
8КриптографияПолитика за криптиране, ключово управление, минимум TLS 1.2, AES-256 за данни в покой.
9Сигурност на човешките ресурсиПроверки преди наемане, споразумения за конфиденциалност, процеси при напускане.
10Контрол на достъпаПринцип на най-малки привилегии, двуфакторна автентикация, ревю на правата минимум веднъж годишно.
11Управление на активитеРегистър на ИКТ активите, класификация на данните, политика за изхвърляне.
12Многофакторна автентикацияМФА за всички привилегировани акаунти, всички отдалечени достъпи, администраторски панели.
13Сигурност на комуникациитеСигурни гласови, видео и текстови комуникации; криптирани канали за оперативни данни; план за криза.

Стъпка 5

Срокове за докладване на инциденти

Един от най-чувствителните аспекти на закона е срокът за уведомяване на регулатора. Нарушаването му е едно от основанията за директна санкция, без значение от резултата на самия инцидент. Сроковете се броят от момента, в който организацията е разбрала за инцидента (не от момента, в който инцидентът се е случил).

Срокове за докладване на инциденти по NIS2 Срокове за докладване на значителен инцидент Хронология от момента, в който организацията е установила инцидента T0 Установяване Часовникът тръгва 24h Ранно предупреждение Какво е - първа оценка Има ли преднамереност Очаквани последствия 72h Уведомление за инцидент Подробна оценка IOC и индикатори Първоначален обхват 1 м. Окончателен доклад Подробно описание Първопричина Корективни мерки Кога инцидентът е „значителен"? - Прекъсва или може да прекъсне предоставянето на услуги от субекта. - Засяга или може да засегне данните на потребители или други организации. - Финансовите загуби надвишават определения праг (различен за различните сектори).
Фиг. 3. Тристепенен процес за докладване: 24 часа за ранно предупреждение, 72 часа за уведомление, 1 месец за окончателен доклад.

Практическата препоръка: подгответе шаблон за всяко от трите уведомления преди да ви се случи инцидент. Имайте назначен дежурен (с резервен), който знае как да изпрати ранното предупреждение в първите 24 часа дори в неработен ден или нощ. Имайте електронен формуляр и адрес за връзка с МЕУ предварително тествани.

💰

Стъпка 6

Глоби и лична отговорност на ръководството

Това е разделът, в който повечето български управители се замислят сериозно върху изискванията. Глобите са от съвсем нов мащаб за българския бизнес, а личната отговорност на ръководството е безпрецедентна.

За съществени субекти

Глоба до 20 000 000 лв. или 2% от глобалния годишен оборот от предходната финансова година - която стойност е по-голяма.

За важни субекти

Глоба до 14 000 000 лв. или 1.4% от глобалния годишен оборот от предходната финансова година - която стойност е по-голяма.

Лична отговорност на ръководството

При системни нарушения управителят, изпълнителният директор и членовете на ръководните органи носят лична отговорност до 100 000 лв. Освен това МЕУ може да приложи временна забрана за упражняване на ръководна функция в съществен субект до отстраняване на нарушението.

Практически: ако сте управител или изпълнителен директор и компанията ви попада в обхвата, тази статия е задължително четиво и за вашия личен правен съветник, не само за IT отдела.

📅

Стъпка 7

26-дневен план за минимална готовност

Реалистично е невъзможно да постигнете пълно съответствие за 26 дни, ако започвате от нула. Реалистично е обаче напълно възможно да постигнете демонстрируема добросъвестност - а това е разликата между „санкция" и „препоръка за подобрения" при първа проверка от МЕУ.

26-дневен план за NIS2 готовност 26-дневен план за минимална готовност От 6 май до 1 юни 2026 г. - четири седмици с ясни цели Седмица 1 6 - 12 май Класификация - Самооценка по Анекс 1 / Анекс 2 - Решение: съществен или важен субект - Назначаване на отговорно лице - Регистрация в МЕУ - Gap анализ спрямо 13-те мерки - План за останалите 3 седмици Седмица 2 13 - 19 май Документи - Политика за управление на риска - Регистър на рискове - Процедура за управление на инциденти - Шаблони за уведомяване в МЕУ - Политика за контрол на достъпа - Одобрение от ръководството Седмица 3 20 - 26 май Технически контроли - МФА за всички привилегировани акаунти - Криптиране на данни в покой - Резервни копия с тествано възстановяване - Inventory на ИКТ активите - Първо vulnerability скениране на средата - Актуализации на пач Седмица 4 27 май - 1 юни Готовност - Обучение на всички служители - Brief на ръководството за личната отговорност - Tabletop на процедурата за инциденти - Преглед на ИКТ доставчиците - Финален вътрешен одит - 1 юни: готовност След 1 юни: продължава работа по управлението на риска, BCP/DR тестове и пълна интеграция в ежедневните процеси.
Фиг. 4. 26-дневен план за минимална готовност за крайния срок 1 юни 2026 г.

Как Атлант Сикюрити помага

Експресен NIS2 пакет за готовност за 1 юни

Когато крайният срок е въпрос на седмици, нашият експресен пакет ви довежда до демонстрируема готовност за 1 юни 2026 г. Включва Gap анализ, шаблони за всичките 13 политики, регистрация в МЕУ, обучение на служители и ръководство, tabletop на процедурата за инциденти.

  • Фиксирана цена
  • Старши консултант с опит в NIS2 и DORA
  • Готови за използване политики на български език
  • Поддръжка след 1 юни в рамките на пакета
  • Подготовка на ръководството за лична отговорност

Резервирайте 30-минутна консултация →

Често задавани въпроси

Въпроси, които чуваме всяка седмица

Не сме сигурни дали попадаме в обхвата. Какво да правим?

Започнете с проверка по два въпроса: 1) В кой сектор оперирате (Анекс 1 или Анекс 2)? 2) Над какъв размер сте (50+ служители или 10+ млн. оборот)? Ако и двата отговора са „да", вероятно сте в обхвата. При неяснота - искайте писмено становище от МЕУ или направете преглед с външен експерт. По-добре е да се регистрирате доброволно, отколкото да бъдете класифицирани служебно с забавяне.

Имам ISO 27001 - покрива ли ми изискванията на NIS2?

Покрива голяма част от тях, но не всичко. ISO 27001 е добра основа за политиките и техническите контроли. NIS2 обаче добавя специфични задължения, които ISO не изисква - регистрация в МЕУ, докладване на инциденти в МЕУ в 24/72 часа, лична отговорност на ръководството, специфични договорни клаузи с ИКТ доставчици. Ако имате ISO 27001, остават около 20-30% допълнителна работа.

Малка фирма сме - 15 служители. Касае ли ни?

По принцип не - праговете са 50+ служители или 10+ млн. оборот. Изключение: ако сте единствен доставчик на критична услуга, доставчик на доверителни услуги (eIDAS), DNS оператор, регистратор на TLD или подобни специфични роли - размерът няма значение. Освен това, ако обслужвате клиенти от 18-те сектора като ИКТ доставчик, те ще ви налагат изисквания по веригата на доставка.

Какво се случва на 1 юни 2026 г.?

Преходният период приключва. От 2 юни МЕУ има право да започне проверки и да налага санкции. На практика очакваме първите проверки да започнат с „меките" нарушения (липса на регистрация, липса на политики), а тежките санкции да се прилагат при системни нарушения и при действителни инциденти, които биха могли да бъдат избегнати с добра практика.

Имаме нужда от вътрешен CISO или достатъчно е външен консултант?

Зависи от размера и сложността. За съществени субекти с над 250 служители - реалистично е необходим вътрешен или поне ангажиран на пълно работно време CISO. За важни субекти и по-малки съществени - външен виртуален CISO (vCISO) е напълно достатъчен и често по-икономичен. Атлант Сикюрити предоставя vCISO услуги, специализирани за NIS2 съответствие в България.

Колко струва пълно съответствие с NIS2?

Зависи от стартовата позиция. За компания с над 100 служители и почти нулева начална подготовка, реалистично говорим за 25 000 - 60 000 лв. за първа година, в които влизат експертна работа, технически инструменти, обучение и одит. За организации с вече зряла киберсигурност (ISO 27001, SOC 2) - 10 000 - 25 000 лв. за привеждане в съответствие с NIS2 спецификите.

26 дни не са много. Те обаче са достатъчни, ако започнете утре сутринта с класификация и Gap анализ. Най-голямата грешка, която виждаме при българския бизнес през април и май, е изчакването. „Ще видим какво ще каже МЕУ", „Ще изчакаме да излезе наредбата", „Ние сме малка фирма". Регулаторната практика на ЕС в подобни случаи е ясна: проверките започват скоро след крайния срок, а първите глоби се налагат за демонстративен ефект върху средни и големи компании, които не са направили нищо.

По-добре е минимална готовност на 1 юни, отколкото идеално съответствие на 1 юли.

Имате нужда от помощ преди 1 юни? Резервирайте 30-минутна консултация или пишете директно на alexander@atlantsecurity.com.

Александър Свердлов

Александър Свердлов

Основател на Atlant Security. Автор на 2 книги за информационна сигурност, лектор по киберсигурност на най-големите конференции по киберсигурност в Азия и панелист на конференция на ООН. Бивш член на екипа за консултации по сигурността на Microsoft, външен консултант по киберсигурност в Емиратската корпорация за ядрена енергия.