Начало/Блог/NIS2 в България

NIS2 в България — задължения за киберсигурност (2026)

Практическо ръководство за essential и important entities: 10-те задължителни мерки, сроковете 24/72 часа, личната отговорност на управителите и санкциите до 10M EUR.

Правна рамка

Директива (ЕС) 2022/2555 — по-известна като NIS2 — замества старата NIS Directive 2016/1148 и установява нова, много по-широка и значително по-строга рамка за киберсигурност в целия Европейски съюз. Целта ѝ е да уеднакви нивото на киберустойчивост в държавите-членки, да разшири обхвата на секторите, които трябва да прилагат задължителни технически и организационни мерки, и да въведе реална отговорност на ръководните органи.

Срокът за транспониране на NIS2 във всички държави-членки беше 17 октомври 2024 г. Българското транспониране, както и в мнозинството държави от ЕС, закъсня с няколко месеца, но беше прието чрез изменения в Закона за киберсигурност и влезе в сила през 2025 г. Компетентни органи в България са Националният координатор по киберсигурност, заедно със секторните регулатори (БНБ за банки, КЗП за електронни съобщения, КФН за капиталови пазари, и др.).

NIS2 се прилага хоризонтално — независимо от правната форма на субекта — и обхваща както частни, така и публични организации. За разлика от NIS1, няма национална дискреция при определянето на задължените лица: ако отговаряте на количествените и секторните критерии, вие сте автоматично „essential" или „important" entity и задълженията ви текат по право, без акт на регулатора.

За пълен български контекст вижте специализираната ни статия на gdprbg.com — с актуален статус на имплементацията, публикуваните подзаконови актове и практически checklist-и за съответствие.

Задължени субекти — Essential vs Important

NIS2 разграничава два вида задължени лица: Essential Entities (съществени субекти) и Important Entities (важни субекти). Разликата има смисъл не толкова на ниво задължения — и двата вида са задължени да прилагат едни и същи 10 минимални мерки — колкото на ниво надзор и размер на санкциите. Essential entities подлежат на проактивен надзор (планови инспекции, искания за информация), докато important entities подлежат на реактивен надзор (само при индикации за нарушение).

Essential Entities — 250+ служители ИЛИ 50M EUR оборот

  • Енергетика — производство, пренос, разпределение на електроенергия, газ, нефт, централно отопление, водород
  • Транспорт — въздушен, железопътен, воден, автомобилен
  • Банкиране и финансови пазари — кредитни институции, оператори на места за търговия
  • Здравеопазване — болници, производители на лекарства и медицински изделия
  • Питейна вода — ВиК оператори
  • Отпадни води
  • Цифрова инфраструктура — IXP, DNS, TLD, центрове за данни, cloud providers, CDN, оператори на електронни съобщения
  • Публична администрация — централна и (избирателно) регионална
  • Космос — наземна инфраструктура, оператори на сателити
  • ICT service management — MSP и MSSP

Important Entities — 50+ служители ИЛИ 10M EUR оборот

  • Пощенски и куриерски услуги
  • Управление на отпадъци
  • Производство и разпространение на химикали
  • Производство и разпространение на храни
  • Критично производство — автомобили, електроника, машини, медицински изделия
  • Цифрови доставчици — online marketplaces, search engines, social networks
  • Научни изследвания

Важно: дори микро- и малки предприятия могат да попаднат в обхвата, ако са единствен доставчик в държавата-членка, ако прекъсването на услугите им би засегнало обществения ред, или ако са DNS, TLD, TSP, MSP и някои други ключови категории — за тях прагът отпада.

Задължения за киберсигурност (чл. 21)

Чл. 21 от NIS2 установява десет минимални технически, организационни и оперативни мерки, които всички задължени субекти — essential или important — трябва да приложат на base of an all-hazards approach. Списъкът не е изчерпателен — субектите са длъжни да надхвърлят минимума пропорционално на размера, експозицията и профила си на риск.

  1. Политики за анализ на риска и сигурност на информационните системи — документирана методология, redone периодично.
  2. Управление на инциденти — откриване, реакция, ескалация, post-mortem.
  3. Непрекъснатост на бизнеса и управление на кризи — BCP/DR планове, backup стратегия, тестване.
  4. Сигурност на веригата на доставки — включително отношения между всеки субект и неговите преки доставчици и доставчици на услуги.
  5. Сигурност при придобиване, разработка и поддръжка на мрежови и информационни системи, включително управление и разкриване на уязвимости.
  6. Политики и процедури за оценка на ефективността на мерките за управление на кибер-рисковете.
  7. Основни практики за кибер-хигиена и обучения по киберсигурност.
  8. Политики и процедури за криптография и (при нужда) криптиране.
  9. Сигурност на човешките ресурси, политики за контрол на достъпа и управление на активите.
  10. Многофакторна автентикация, непрекъсната автентикация, сигурни гласови/видео/текстови комуникации и сигурни системи за спешни комуникации в рамките на организацията.

Всяка от тези мерки е покрита в пакета на gdprbg.com/#services — от оценка на риска и изготвяне на политики до аудит на веригата на доставки и обучения за ръководители.

Докладване на инциденти (чл. 23)

Един от най-критичните аспекти на NIS2 е режимът на multi-stage reporting за значими инциденти. „Значим" е всеки инцидент, който е причинил или може да причини сериозно смущение на услугите или финансови загуби, или е засегнал други физически/юридически лица чрез значителна имуществена или неимуществена вреда.

ЕтапСрокКакво се докладва
Early warning24 часаУведомяване дали инцидентът е причинен от злонамерени действия или има трансгранично въздействие
Incident notification72 часаАктуализация на ранното предупреждение, обща оценка на инцидента, тежест, показатели за компрометиране (IoC)
Intermediate reportПри поискванеАктуализация на оценката и статуса на разследването
Final report1 месецДетайлно описание, причина, приложени и планирани смекчаващи мерки, трансгранично въздействие

Адресат на докладите е националният CSIRT или компетентният орган, а при трансгранични инциденти — и ENISA. Субектите също така уведомяват получателите на услугите си, ако инцидентът може да ги засегне.

Готов ли е Вашият план за реакция при инциденти? Вижте детайлния ни план за 72 часа на gdprbg.com — шаблон за breach response, съвместим както с GDPR, така и с NIS2.

Управленска отговорност (чл. 20)

Чл. 20 е ключовата промяна спрямо NIS1 и най-болезненото нововъведение за българските управители. За първи път в правото на ЕС киберсигурността се позиционира не като въпрос на IT отдела, а като корпоративен и личен ангажимент на ръководството.

  • Членовете на управителните органи са лично задължени да одобрят мерките за управление на кибер-рисковете и да контролират тяхното прилагане.
  • Управителите имат задължение да преминат обучение по киберсигурност и да осигурят подобно обучение за служителите.
  • При нарушения е възможна лична отговорност — както гражданска, така и административна.
  • В определени случаи компетентните органи могат да наложат временна забрана за заемане на управителни длъжности на лица, които са отговорни за сериозни нарушения.

Тази клауза е особено важна за чуждестранни собственици на български компании, които до момента разчитаха на „local management layer" без персонална експозиция. NIS2 пренася отговорността директно на нивото на Board-а — включително и на членове на управителни съвети на групи от компании.

Управителите на нашите клиенти получават специализирани GDPR и NIS2 обучения чрез gdprbg.com/#services — с документация, която може да бъде представена пред регулатор при инспекция.

Санкции

NIS2 въвежда санкционен режим, силно вдъхновен от GDPR — с двустепенна структура и процент от глобалния оборот. Разликата е, че таваните тук са различни за essential и important entities.

Тип субектМаксимална санкция
Essential entitiesДо 10 милиона EUR ИЛИ 2% от глобалния годишен оборот, по-голямото
Important entitiesДо 7 милиона EUR ИЛИ 1.4% от глобалния годишен оборот, по-голямото
Периодични имуществени санкцииДопълнителни — за продължаващи нарушения

Към паричните глоби се добавят и non-monetary мерки: предупреждения, задължителни указания за прилагане на конкретни мерки, публично обявяване на нарушението, налагане на сертификационни изисквания, временно ограничаване или спиране на лиценза, временна забрана за физически лица да заемат управителни позиции.

Регистрация пред компетентните органи

За разлика от NIS1, NIS2 въвежда задължителна самозаявителна регистрация. Essential и important entities трябва в срок от 3 месеца от падането в обхвата да подадат информация към компетентния национален орган (в България — Националният координатор по киберсигурност или секторния регулатор). Необходимата информация включва:

  • Име и правна форма на субекта;
  • Актуален адрес на управление и адреси на дружества от същата група;
  • Сектор и подсектор съгласно Анекс I/II на NIS2;
  • Брой служители и годишен оборот (за проверка на размера);
  • Списък с държавите-членки, в които субектът предоставя услуги;
  • Публични URL адреси, диапазони на IP адреси, списък с DNS записи (за доставчиците на цифрови услуги);
  • Данни за контакт — legal representative, CISO, DPO.

Неподаването на регистрация е самостоятелно основание за санкция — независимо от реалното техническо ниво на съответствие.

Допълнителни задължения за доставчици на ИКТ услуги

Доставчиците на ICT услуги (MSP, MSSP, cloud, hosting, CDN, SaaS) имат допълнителни задължения, защото са „fourth party" и „nth party" рискови фактори за своите клиенти:

  • Verification и due diligence на supply chain — включително на sub-processors и подизпълнители;
  • Договорни клаузи за киберсигурност в рамковите споразумения с подизпълнители — minimum controls, audit rights, incident notification, termination for cause;
  • Периодични одити на доставчици с риск над определен праг;
  • Backup и Disaster Recovery планове с тестване — минимум един RTO/RPO test годишно;
  • Контрол на outbound data flows и на privileged access на подизпълнители.

Регулаторът очаква и вътрешни vendor risk assessments с документирана методология, които могат да бъдат представени при поискване.

NIS2 vs DORA — разлики

DORA (Digital Operational Resilience Act — Регламент (ЕС) 2022/2554) и NIS2 бяха приети в един и същи пакет, но имат различен фокус. DORA е специфична за финансовия сектор и има статут на lex specialis, което означава, че когато DORA урежда даден въпрос, тя се прилага вместо NIS2.

  • Обхват: DORA — кредитни институции, инвестиционни посредници, застрахователи, фонд мениджъри, платежни институции, крипто доставчици, ICT trust providers към финансовия сектор. NIS2 — всички останали сектори от Анекс I/II.
  • Технически стандарти: DORA има подробни RTS/ITS от ESAs (EBA, ESMA, EIOPA), докато NIS2 разчита на Implementing Acts на Комисията и национално право.
  • Докладване: DORA има собствени срокове и формати; NIS2 — 24/72 часа по общата рамка.
  • Testing: DORA изисква TLPT (Threat-Led Penetration Testing) за значими финансови субекти; NIS2 не.

Ако сте финансова институция, вижте и DORA ръководството ни на gdprbg.com — с подробна карта на приложимост и практически план за съответствие.

Практически стъпки за внедряване

Долу е 10-стъпков план, който използваме при имплементация при български клиенти — от оценка на приложимост до годишния preglед:

  1. Самооценка — essential или important? Попадам ли в размер? Попадам ли в сектор?
  2. Gap анализ спрямо 10-те мерки на чл. 21 — what we have, what we miss, what we need to fix.
  3. План за внедряване с бюджет, ресурси, отговорници, срокове.
  4. Официално одобрение от управителя/Board-а — с писмено решение за документиране.
  5. Имплементация на технически мерки — MFA, log management, EDR, vulnerability management, backup.
  6. Обучение на персонала — basic cyber hygiene, phishing awareness, incident reporting.
  7. План за реакция при инциденти — с runbook-и, ескалационна матрица, template за 24h/72h notification.
  8. Регистрация пред компетентен орган — подаване на изискваната информация.
  9. Одит — вътрешен, а при essential entities — и външен независим одит.
  10. Годишен преглед — актуализация на risk assessment-а и на всички политики.

Нашият екип на gdprbg.com извършва всички 10 стъпки — включително регистрация пред Националния координатор по киберсигурност и непрекъснат monitoring след имплементацията.

Често задавани въпроси

Кога NIS2 влезе в сила в България?
Срокът за транспониране беше 17 октомври 2024 г. Българското транспониране закъсня с няколко месеца, но беше прието чрез изменения в Закона за киберсигурност и влезе в сила през 2025 г. Актуалният статус следим на gdprbg.com.
Каква е разликата между essential и important entities?
Essential entities са от високо-критични сектори с 250+ служители или 50M EUR оборот и подлежат на проактивен надзор. Important entities — 50+ служители или 10M EUR оборот — подлежат на реактивен надзор. Задълженията са едни и същи, но глобите и режимът на надзор се различават.
Какви са сроковете за докладване на инциденти?
Ранно предупреждение — 24 часа, подробно уведомление — 72 часа, междинен доклад при поискване, окончателен доклад — 1 месец. Вижте и плана ни за 72 часа.
Отговорен ли е лично управителят?
Да. Чл. 20 от NIS2 въвежда лична отговорност на членовете на управителните органи за одобряване и контрол на мерките за управление на кибер-рисковете, както и задължение за обучение.
Какви са максималните санкции?
За essential entities — до 10M EUR или 2% от глобалния годишен оборот, което е по-голямото. За important entities — до 7M EUR или 1.4%. Към тях се добавят и non-monetary мерки.
Трябва ли да се регистрираме?
Да. Essential и important entities трябва да подадат информация за име, адрес, сектор, размер, URL адреси и IP диапазони пред компетентния орган в срок от 3 месеца от падането в обхвата.
Как NIS2 се отнася към DORA?
DORA е lex specialis за финансовия сектор. Ако сте финансова институция, прилагате DORA вместо NIS2 по въпросите, които DORA урежда изрично. Подробно сравнение на gdprbg.com.

Нуждаете се от NIS2 съответствие?

Нашият специализиран cyber security и GDPR екип на gdprbg.com извършва пълно внедряване — от gap анализ и регистрация до годишен независим одит. Заявете безплатна консултация.