NIS2 обхват - попадате ли в него?

Попадам ли под NIS2?

Кратък отговор: ако организацията ви има над 50 служители или оборот над 10 млн. евро и оперира в един от 17-те регулирани сектора - да, почти сигурно попадате. С промените в Закона за киберсигурност (ЗКС, ДВ, бр. 17 от 2026 г.), транспониращи Директива NIS2, обхватът е значително по-широк от предишната рамка. Ако предпочитате бърза проверка вместо четене, направете безплатната NIS2 самооценка - отнема под 5 минути.

Как да определите дали попадате в обхвата?

Решението следва три стъпки: сектор, размер, специален статус. Трябва да покриете и двата критерия - сектор и размер - освен ако нямате специален статус.

Стъпка 1: В кой сектор оперирате?

ЗКС разделя секторите на две приложения (съответстващи на Приложения I и II от Директива NIS2). Приложение I включва сектори с висока критичност, а Приложение II - други критични сектори. Приложението определя дали ще бъдете класифицирани като съществен или важен субект.

Приложение I - сектори с висока критичност (10 сектора):

• Енергетика - електроразпределителни дружества, топлофикации, газоразпределителни мрежи, петролни рафинерии, оператори на зарядни станции, водородни оператори
• Транспорт - авиокомпании, летищни оператори, железопътни превозвачи, пристанищни оператори, автобусни и логистични компании
• Банково дело - банки, кредитни институции
• Инфраструктури на финансовите пазари - борсови оператори, централни депозитари, клирингови къщи
• Здравеопазване - болници, лаборатории, производители на медицински изделия, фармацевтични компании, аптечни вериги
• Питейна вода - ВиК дружества, оператори на пречиствателни станции за питейна вода
• Отпадъчни води - оператори на канализационни мрежи и пречиствателни станции за отпадъчни води
• Цифрова инфраструктура - доставчици на интернет обмен (IXP), DNS услуги, TLD регистри, облачни услуги, центрове за данни, CDN мрежи
• Управление на ИКТ услуги - доставчици на управлявани ИТ услуги (MSP), доставчици на управлявани услуги за сигурност (MSSP)
• Космическо пространство - оператори на наземна инфраструктура за космически услуги

Приложение II - други критични сектори (7 сектора):

• Пощенски и куриерски услуги - пощенски оператори, куриерски компании
• Управление на отпадъците - фирми за събиране, транспорт и преработка на отпадъци
• Химически вещества - производители и дистрибутори на химикали
• Храни - хранителни производители, преработватели, дистрибутори на едро
• Производство - производители на медицински изделия, електроника, електрическо оборудване, машини, автомобили и превозни средства
• Цифрови услуги - онлайн магазини, търсачки, платформи за социални мрежи
• Научноизследователска дейност - научни институти и образователни институции с критични изследвания

Публична администрация - извън приложенията, но в обхвата:

Административните органи и органите на съдебната власт не са включени в Приложение I или II, но попадат в обхвата на ЗКС по силата на чл. 4, т. 1 и т. 9 от ЗКС. Те се класифицират директно като съществени субекти (чл. 4а, ал. 1, т. 5 от ЗКС), независимо от размера си - министерства, агенции, общини, органи на съдебната власт.

Стъпка 2: Какъв е размерът на предприятието?

NIS2 обхватът се определя от два размерни критерия - достатъчно е да покриете един от тях:

Критерий	Под прага	Среден	Голям
Служители	Под 50	50-249	250+
Годишен оборот	Под 10 млн. EUR	10-50 млн. EUR	Над 50 млн. EUR

Малки предприятия (под 50 служители и оборот под 10 млн. EUR) по правило не попадат в обхвата - освен ако нямат специален статус (вижте стъпка 3).

Средни и големи предприятия от регулиран сектор попадат в обхвата. Конкретната класификация (съществен или важен) зависи от комбинацията на размер и приложение.

Стъпка 3: Имате ли специален статус?

Някои организации попадат в обхвата независимо от размера (чл. 4, т. 3 от ЗКС):

• Телекомуникационни оператори - доставчици на обществени електронни съобщителни мрежи или услуги
• Доставчици на удостоверителни услуги - квалифицирани електронни подписи, печати, удостоверения
• DNS доставчици и TLD регистри - включително доставчици на услуги за регистриране на имена на домейни
• Критична инфраструктура (CER) - субекти, определени по Директива (ЕС) 2022/2557
• Единствени доставчици на услуга от съществено значение за критични обществени дейности
• Субекти с трансгранично въздействие - чието смущение би засегнало други държави членки

Ако попадате в някоя от тези категории, размерът на предприятието няма значение - вие сте в обхвата.

Съществен или важен субект - каква е разликата?

Класификацията по чл. 4а от ЗКС определя нивото на надзор и размера на санкциите:

Съществени субекти:

• Големи предприятия (250+ служители или 50+ млн. EUR) от Приложение I
• Средни телекомуникационни оператори
• Квалифицирани удостоверителни услуги, DNS и TLD регистри (независимо от размера)
• Административни органи и съдебна власт (чл. 4, т. 1 и т. 9 от ЗКС - извън приложенията, но винаги съществени)
• Субекти, определени като критична инфраструктура (CER)

Важни субекти:

• Средни предприятия (50-249 служители или 10-50 млн. EUR) от Приложение I
• Средни и големи предприятия от Приложение II
• Всички останали субекти в обхвата, които не отговарят на критериите за съществени

На практика разликата е в две неща:

1. Надзор - съществените субекти подлежат на проактивен надзор (планови проверки и редовни одити). Важните - само на последващ контрол при доказателства за нарушение (чл. 27ж от ЗКС).
2. Санкции - съществените субекти рискуват до 10 млн. EUR или 2% от глобалния оборот. Важните - до 7 млн. EUR или 1,4%.

Какви са санкциите?

За организации

• Съществени субекти: до 10 000 000 EUR или до 2% от глобалния годишен оборот (което е по-високо), минимум 25 000 EUR (чл. 29, ал. 2 от ЗКС)
• Важни субекти: до 7 000 000 EUR или до 1,4% от глобалния годишен оборот, минимум 12 500 EUR (чл. 29, ал. 3 от ЗКС)

За ръководители лично

Ръководството носи лична отговорност за одобряване и надзор на мерките за киберсигурност (чл. 21 от ЗКС, съответства на чл. 20 от Директива NIS2). При нарушение - глоби от 500 до 5 000 EUR (чл. 29, ал. 4 от ЗКС). За съществени субекти съдът може да наложи временна забрана за упражняване на управленски функции (чл. 27к, ал. 2 от ЗКС).

Гратисен период

До 1 юни 2026 г. санкциите се намаляват с 50% (§ 51 от ЗКС). След тази дата - пълен размер. Остават ви по-малко от три месеца.

Регистрация в НЕРИКС

Не организациите решават дали попадат в обхвата. Съгласно § 47 и § 48 от преходните разпоредби на ЗКС:

1. Министерският съвет приема методика за определяне на субектите в рамките на 6 месеца
2. Компетентните органи определят конкретните субекти в следващите 5 месеца
3. Министърът на електронното управление поддържа непубличен национален регистър (чл. 6 от ЗКС)

Промени в регистрираната информация трябва да се докладват в срок до две седмици (чл. 6, ал. 3 от ЗКС). Но не чакайте официалното определяне - 12-те мерки по чл. 22 от ЗКС (съответстват на чл. 21 от Директива NIS2) трябва да са внедрени преди това.

Специален случай: DORA и други секторни закони

Ако за вашия сектор вече съществува специален закон с равностойни изисквания за киберсигурност, той има предимство (чл. 6а от ЗКС). Най-важният пример е DORA за финансовия сектор. Ако вече покривате DORA, NIS2 не добавя допълнителни задължения в покритата част.

Проверете за 5 минути

Не е нужно да четете целия закон, за да разберете дали попадате в NIS2 обхвата. Направете безплатната NIS2 самооценка - инструментът ще определи класификацията ви, ще оцени готовността по 12-те мерки и ще генерира PDF доклад с конкретни препоръки. Вижте и какво включва инструментът.

Как ISMS.bg може да помогне?

Ако самооценката потвърди, че попадате в обхвата, следващата стъпка е експертен GAP анализ - ще определим точно какво покривате, какво липсва и как да стигнете до пълно съответствие с мерки, които имат смисъл за вашия бизнес. Повечето NIS2 мерки се припокриват с ISO 27001 - ако вече имате сертификация, голяма част от пътя е изминат.

Нека поговорим - ще ви дадем честна оценка, дори ако отговорът е “не сега”.