ISMS.bgISMS.bg

NIS2 и Законът за киберсигурност - какво се промени

· 9 min read · Людмил Арков
NIS2съответствиеинформационна сигурност

Какво се промени в Закона за киберсигурност?

Промените в Закона за киберсигурност (ЗКС), транспониращи Директива (ЕС) 2022/2555 (NIS2), са обнародвани в ДВ, бр. 17 от 13 февруари 2026 г. Ако организацията ви попада в обхвата на закона - задълженията вече са факт.

Накратко: обхватът се разширява драстично - 17 сектора в приложенията плюс публичната администрация и съдебната власт, въвежда се лична отговорност за ръководството, 24-часово докладване на инциденти и санкции до 10 милиона евро.

Бележка за номерацията: В тази статия цитираме членове от българския Закон за киберсигурност (ЗКС), не от Директива NIS2. Номерацията се различава: мерките за сигурност са в чл. 21 на Директивата, но в чл. 22 на ЗКС; управленската отговорност е в чл. 20 на Директивата, но в чл. 21 на ЗКС; докладването на инциденти е в чл. 23 и в двата документа.

Кой е засегнат?

Новият ЗКС значително разширява кръга на задължените субекти. Докато предишната NIS1 рамка обхващаше предимно критичната инфраструктура, сега моделът преминава към системна устойчивост - включително вериги на доставки и цифрови зависимости.

Сектори с висока критичност (Приложение I)

Десетте сектора от Приложение I включват: енергетика (електроенергия, отопление, нефт, газ, водород), транспорт (въздушен, железопътен, воден, автомобилен), банков сектор, инфраструктури на финансовия пазар, здравеопазване, питейна вода, отпадъчни води, цифрова инфраструктура, управление на ИКТ услуги и космическо пространство. Към тях се добавят административните органи и органите на съдебната власт (чл. 4, т. 1 и т. 9 от ЗКС).

Други критични сектори (Приложение II)

Седемте сектора от Приложение II: пощенски и куриерски услуги, управление на отпадъци, производство и дистрибуция на химикали, производство и разпространение на храни, производство (медицински изделия, електроника, електрическо оборудване, машини, превозни средства), доставчици на цифрови услуги (онлайн търговия, търсачки, социални мрежи) и научноизследователски организации.

Съществени или важни - каква е разликата?

Разделението не е само по сектор, а зависи и от размера на предприятието (чл. 4а от ЗКС). Съществени субекти са: големите предприятия от Приложение I, доставчиците на квалифицирани удостоверителни услуги и DNS/TLD регистри (независимо от размера), средните телекоми, както и административните органи. Важни субекти са всички останали средни и големи предприятия от Приложение I или II, които не попадат в категорията на съществените. Съществените субекти подлежат на по-строг проактивен надзор, а важните - на последващ контрол.

Кой попада в обхвата?

Общото правило по чл. 4, т. 2 от ЗКС: средни и големи предприятия по смисъла на Закона за малките и средните предприятия (от 50 служители нагоре или годишен оборот над 10 млн. евро) в регулираните сектори. Но чл. 4, т. 3 от ЗКС предвижда и изключения - доставчиците на удостоверителни услуги, обществени електронни съобщителни мрежи/услуги и регистрите на домейни от първо ниво попадат в обхвата независимо от размера си. Същото важи и за единствени доставчици на критични услуги или субекти, чието смущение би имало трансгранично въздействие.

Важна клауза: ако за вашия сектор вече съществува специален закон с изисквания за киберсигурност, равностойни на Директива NIS2 (като DORA за финансовия сектор), той има предимство (чл. 6а от ЗКС). Разпоредбите на ЗКС не се прилагат в частта, покрита от специалния закон.

Важен нюанс: не организациите решават дали попадат в обхвата. Съгласно § 47 и § 48 от преходните разпоредби на ЗКС Министерският съвет приема методика в рамките на 6 месеца, а компетентните органи определят конкретните субекти в следващите 5 месеца. Министърът на електронното управление поддържа непубличен национален регистър (чл. 6 от ЗКС). Промени в регистрираната информация трябва да се докладват в срок до две седмици (чл. 6, ал. 3 от ЗКС).

Какви са новите задължения?

Управление на риска

Законът изисква подходящи и пропорционални технически, оперативни и организационни мерки за киберсигурност. На практика това означава:

  • Анализ на рисковете и политики за сигурност
  • Откриване и управление на инциденти
  • Непрекъснатост на дейността и възстановяване при бедствия
  • Оценка на сигурността на веригата на доставки
  • Сигурно придобиване и поддръжка на системи
  • Управление на уязвимости и кибер хигиена
  • Политики за криптография и контрол на достъпа
  • Многофакторна автентикация
  • Управление на промените

Ако това ви звучи познато - да, припокрива се значително с ISO 27001. Организациите с работеща СУИС имат сериозна преднина. А интеграцията на ISO 27001 с GDPR добавя още един слой, който NIS2 също изисква.

Докладване на инциденти

ЗКС въвежда тристепенно докладване до СЕРИКС (секторния екип за реагиране при инциденти с компютърната сигурност) съгласно чл. 23 от ЗКС (съответства на чл. 23 от Директивата):

  1. До 24 часа - ранно предупреждение, включително дали инцидентът се дължи на злонамерени действия и дали има трансгранично въздействие
  2. До 72 часа - уведомление с първоначална оценка на тежестта и въздействието (за доставчиците на удостоверителни услуги този срок е 24 часа)
  3. До 1 месец - окончателен доклад с подробен анализ (или междинен, ако инцидентът не е приключил, с окончателен до месец след справянето)

Добрата новина: съгласно чл. 23, ал. 1 от ЗКС самото уведомяване не води до повишена отговорност за субекта. Лошата: неуведомяването води до санкции. Това означава, че се нуждаете от готов, тестван процес за реагиране при инциденти - не нещо, което ще измисляте в 3 сутринта, когато получите обаждане.

Управленска отговорност

Тук е може би най-значимата промяна. Ръководните органи вече лично отговарят за:

  • Одобряване и надзор на мерките за киберсигурност (чл. 21, ал. 1 от ЗКС)
  • Преминаване на обучение по киберсигурност на всеки две години (чл. 21, ал. 2 от ЗКС)
  • Организиране на същите обучения и за своите служители (чл. 21, ал. 3 от ЗКС)

Киберсигурността вече не е “IT проблем” - тя е въпрос на корпоративно управление на ниво борд на директорите. За съществените субекти (не за важните) ЗКС предвижда и възможност компетентният орган да поиска от съд временна забрана за упражняване на управленски функции (чл. 27к, ал. 2 от ЗКС). Забележете: ЗКС изисква обучение на фиксирани двугодишни интервали, а не просто “редовно” както е в Директива NIS2 (чл. 20, ал. 2 от Директивата).

Сигурност на веригата на доставки

Задължението вече е законово, не само добра практика. Съгласно чл. 22, ал. 2, т. 4 от ЗКС (чл. 21, ал. 2, буква „г” от Директивата) субектите трябва да осигурят сигурност на веригата за доставка, включително аспектите на сигурност относно взаимовръзките с преки снабдители и доставчици на услуги. При това чл. 22, ал. 3 от ЗКС изисква да се вземат предвид уязвимостите на всеки доставчик, цялостното качество на продуктите и практиките им за киберсигурност, включително процедурите за сигурно разработване.

Какво още трябва да знаете?

Надзор и одити

Съществените субекти подлежат на проактивен надзор - планови и извънпланови проверки, редовни одити на сигурността (чл. 27ж, ал. 1 от ЗКС). Важните субекти подлежат на последващ контрол - проверки само при наличие на доказателства за нарушение (чл. 27ж, ал. 2 от ЗКС). И в двата случая разходите за целевите одити на сигурността се поемат от одитирания субект (чл. 27з, ал. 3 от ЗКС).

Връзка с GDPR

Ако при проверка компетентните органи установят нарушение, което засяга лични данни, те уведомяват Комисията за защита на личните данни (чл. 27н, ал. 1 от ЗКС). Важно: ако КЗЛД вече е наложила санкция по GDPR за същото деяние, компетентният орган няма да налага допълнителна имуществена санкция (чл. 27н, ал. 2 от ЗКС) - няма двойно наказване.

Координирано оповестяване на уязвимости

Нова функция: НЕРИКС (Националният ЕРИКС) вече действа като координатор за отговорно оповестяване на уязвимости (чл. 19, ал. 4 от ЗКС). Ако откриете уязвимост в ИКТ продукт или услуга, можете да я докладвате чрез формална процедура, утвърдена от министъра на електронното управление.

Обмен на информация

ЗКС създава нова рамка за доброволен обмен на информация за киберсигурност между субекти - включително за заплахи, уязвимости и признаци за нарушена сигурност (чл. 27г от ЗКС). Субекти извън обхвата на закона също могат доброволно да докладват инциденти и заплахи (чл. 27д от ЗКС).

Какви са санкциите?

За организации

  • Съществени субекти (чл. 29, ал. 2 от ЗКС): до 10 000 000 евро или до 2% от общия световен годишен оборот (което е по-високо), минимум 25 000 евро
  • Важни субекти (чл. 29, ал. 3 от ЗКС): до 7 000 000 евро или до 1,4% от общия световен годишен оборот (което е по-високо), минимум 12 500 евро

При определяне размера на санкцията чл. 29б от ЗКС предвижда 8 смекчаващи обстоятелства, включително: предприетите мерки за ограничаване на вредите, степента на сътрудничество с компетентните органи, дали нарушението е умишлено или по непредпазливост и дали е повторно. С други думи - усилията за съответствие имат значение.

За ръководители лично

  • Глоби от 500 до 5 000 евро при нарушение на чл. 21 от ЗКС (чл. 29, ал. 4 от ЗКС)
  • За съществени субекти: възможност за временна забрана за упражняване на управленски функции по съдебен ред (чл. 27к, ал. 2 от ЗКС)

Гратисен период

Съгласно § 51 от преходните разпоредби на ЗКС за нарушения, извършени до 1 юни 2026 г., глобите и имуществените санкции се намаляват с 50% - идеята е организациите да насочат ресурсите си към реално внедряване на мерки, а не към плащане на глоби. След тази дата пълният санкционен режим влиза в сила. Остават ви малко повече от три месеца.

Какво да направите сега?

Ако подозирате, че организацията ви попада в обхвата на NIS2, не чакайте официалното определяне. Ето практични стъпки:

  1. Определете дали попадате в обхвата - направете нашата безплатна NIS2 самооценка за 5 минути или проверете ръчно сектора, размера и дейността си спрямо Приложения I и II
  2. Направете GAP анализ - сравнете текущите си мерки за киберсигурност с 12-те мерки по чл. 22 от ЗКС
  3. Осигурете ангажираност на ръководството - това вече не е опционално; ръководителите носят лична отговорност
  4. Изградете процес за докладване - 24-часовият срок изисква готов процес, не импровизация
  5. Оценете веригата на доставки - задълженията ви обхващат и вашите доставчици
  6. Обучете екипа - и ръководството, и служителите, с документирано обучение

Как ISMS.bg може да помогне?

NIS2 се припокрива значително с ISO 27001 и GDPR - ако вече имате работеща система за управление на информационната сигурност, голяма част от пътя е изминат. Ако не - сега е моментът да започнете.

Помагаме на организации да изградят реално работещи системи за киберсигурност - не чекбокс съответствие, което задоволява регулатора на хартия, а процеси, които екипът ви ще следва. С vCISO услугата получавате стратегическо ръководство и експертиза без нуждата от щатен директор по сигурността - включително оценка на NIS2 готовността, изграждане на процеси за докладване и обучение на ръководния екип.

Нека поговорим - ще ви помогнем да оцените къде стоите спрямо NIS2 и какви са конкретните следващи стъпки за вашата организация.