ISMS.bgISMS.bg

NIS2 отговорност на ръководството - глоби и задължения

· 5 min read · Людмил Арков
NIS2съответствиеинформационна сигурност

Ако сте управител или член на борда на компания в един от 17-те регулирани сектора, Директива NIS2 вече не е „ИТ тема”. Това е лична правна отговорност.

Промените в Закона за киберсигурност (ЗКС), обнародвани в ДВ бр. 17/2026, транспонират Директива NIS2 с изрични задължения за ръководството - одобрение на мерки, лично обучение и надзор над изпълнението. Не за ИТ отдела. За вас.

Тази статия обяснява точно какво изисква законът от вас лично - и какво се случва, ако не го направите. Без жаргон, с конкретни членове и числа.

Какво казва законът за ръководството

Член 21 от ЗКС (съответстващ на чл. 20 от Директива NIS2) създава три категорични задължения за управителните органи на съществени и важни субекти:

Одобрение. Ръководството одобрява мерките за управление на рисковете за киберсигурност (чл. 21, ал. 1 от ЗКС). Не ИТ директорът. Не консултантът. Вие. С протокол от заседание и подпис.

Надзор. Ръководството следи за прилагането на тези мерки. Ако одобрите политика, но никога не проверите дали се спазва - нарушавате закона.

Обучение. Управителните органи преминават обучение на всеки две години (чл. 21, ал. 2 от ЗКС) и осигуряват аналогично обучение за служителите си (чл. 21, ал. 3 от ЗКС). Не „по възможност” или „когато има бюджет” - на фиксирани двугодишни интервали.

При неспазване членовете на ръководството носят лична отговорност. Това задължение не може да бъде делегирано - нито на CISO, нито на външен консултант, нито на ИТ екипа.

Познавате ISO 27001? Стандартът изисква „ангажираност на ръководството”. Директива NIS2 отива по-далеч - изисква лично участие, обучение и персонална отчетност. А ЗКС е дори по-строг от Директивата - фиксирани двугодишни интервали за обучение вместо неопределеното „редовно” в европейския текст.

Какви санкции ви грозят лично

Корпоративни глоби (чл. 29 от ЗКС)

За съществени субекти: до 10 000 000 EUR или 2% от общия годишен световен оборот (което от двете е по-голямо), с минимум 25 000 EUR (чл. 29, ал. 2 от ЗКС).

За важни субекти: до 7 000 000 EUR или 1,4% от оборота, минимум 12 500 EUR (чл. 29, ал. 3 от ЗКС).

Лични глоби за ръководството

За нарушение на чл. 21 от ЗКС: индивидуална глоба от 500 до 5 000 EUR (чл. 29, ал. 4 от ЗКС). Тази глоба е лично за вас - не за компанията.

За съществени субекти съдът може да наложи и временна забрана за заемане на управленски функции (чл. 27к, ал. 2 от ЗКС). Не предупреждение. Забрана да управлявате.

Нека го направим конкретно

Ако компанията ви има оборот от 25 млн. евро, максималната корпоративна глоба е 500 000 евро. А вие лично рискувате до 5 000 евро глоба - и евентуална забрана да управлявате.

Смекчаващи обстоятелства (чл. 29б от ЗКС)

Добрата новина: законът отчита смекчаващи фактори - ранни усилия за съответствие, сътрудничество с компетентните органи и навременно уведомяване за инциденти. С други думи: наличието на план е вашата защита. Не трябва да сте перфектни - трябва да демонстрирате, че сте предприели реални стъпки.

Задължението за обучение - не препоръка, а закон

Обучението на ръководството по киберсигурност е задължително по закон (чл. 21, ал. 2 от ЗКС). Не „добра практика”. Не „ако остане бюджет”. Закон.

Какво означава „обучение” на практика? Разбиране на 12-те мерки за сигурност по чл. 22 от ЗКС, основните принципи за управление на риска и задълженията за докладване на инциденти. Не е необходимо да станете технически експерт. Необходимо е да разбирате какво одобрявате и защо.

Това е уникално за NIS2 и ЗКС. GDPR не изисква обучение на ниво управителен съвет. ЗКС го изисква изрично - и то на всеки две години, по-строго от формулировката на Директивата.

Документирайте присъствието. Сертификат, протокол, подписан лист - каквото и да е, съхранявайте го. Това е доказателство за съответствие при проверка.

Времеви график - какво и кога

Сега (до 1 юни 2026 г.): Гратисен период. Санкциите са намалени с 50% (§ 51 от ЗКС). Това е прозорец за действие, не за изчакване.

1 юни 2026 г.: Пълни санкции. Без отстъпки.

Непосредствени задължения:

  • Подготовка за включване в НЕРИКС - регистърът се поддържа от Министъра на електронното управление (чл. 6 от ЗКС), а компетентните органи определят кои субекти попадат в обхвата (§ 47–48 от ЗКС)
  • Готовност за докладване на инциденти: ранно предупреждение до 24 часа, уведомление до 72 часа, окончателен доклад до 1 месец (чл. 23 от ЗКС)

Текущи задължения:

  • Годишен преглед на мерките от ръководството
  • Цикъл на обучение (на всеки 2 години)
  • Актуализация на оценката на риска

„Нямам бюджет” - цената на бездействието

Нека сравним числата:

Стойност
NIS2 Toolkit (шаблони, пътна карта, брифинг)от 199 EUR
GAP анализ (експертна оценка + приоритизиран план)750–1 500 EUR
vCISO (непрекъснат надзор)от 500 EUR/месец
Максимална корпоративна глоба10 000 000 EUR
Репутационни щетинеизмерими

Съответствието не е безплатно. Но е значително по-евтино от несъответствието.

А ако вземем предвид смекчаващите обстоятелства по чл. 29б от ЗКС - самият факт, че сте инвестирали в план за съответствие, намалява потенциалната санкция. Първата стъпка е буквално вашата застраховка.

Какво да направите в понеделник сутрин

Пет конкретни стъпки, подредени по приоритет:

  1. Разберете дали попадате в обхвата. Нашата безплатна NIS2 самооценка отнема 10 минути. Ще знаете в кой сектор, категория и режим попадате. Прочетете и подробния анализ на обхвата и праговете.

  2. Насрочете брифинг с ИТ директора. Поискайте конкретен отговор на три въпроса: къде сме сега, какво ни липсва, какъв бюджет е необходим. Ако нямате ИТ директор - свържете се с нас за управленски брифинг.

  3. Одобрете бюджет за 12-седмичен план. Не за „дигитална трансформация”. За конкретна пътна карта към съответствие с ЗКС. Вижте какво включва NIS2 услугата ни или прочетете какви точно са промените в закона.

  4. Подгответе се за НЕРИКС. Регистърът се поддържа от Министъра на електронното управление (чл. 6 от ЗКС), а компетентните органи определят кои субекти попадат в обхвата (§ 47–48 от ЗКС). Подгответе данните си - адрес, контакти, IP диапазони - за да сте готови при включване.

  5. Запишете се за обучение. Демонстрира дължима грижа от първия ден. Обучението е задължение по чл. 21, ал. 2 от ЗКС - и едновременно с това е смекчаващо обстоятелство при евентуална проверка.

Подготвяме NIS2 Toolkit с готов брифинг за ръководството, шаблони за политики и пътна карта за съответствие. Свържете се с нас, за да научите първи.

Междувременно: безплатна NIS2 самооценка - разберете дали попадате в обхвата за 10 минути. Или разгледайте нашия NIS2 GAP анализ с фиксирана цена.