Попада ли моята организация в обхвата на NIS2?

NIS2 обхваща 17 сектора с размерни прагове - средни и големи предприятия (50+ служители или 10+ млн. евро оборот). Някои субекти попадат независимо от размера - доставчици на DNS, удостоверителни услуги, TLD регистри. Направете нашата безплатна NIS2 самооценка за 5 минути и разберете веднага.

Какви са санкциите за неспазване на NIS2?

За съществени субекти - до 10 млн. евро или 2% от годишния оборот (което е по-голямо). За важни субекти - до 7 млн. евро или 1,4% от оборота. Ръководството носи лична отговорност (чл. 21) и е длъжно да преминава обучение по киберсигурност.

Имаме ISO 27001 - покрива ли NIS2?

Частично. ISO 27001 покрива около 3 от 12-те категории мерки на NIS2 директно. С останалите - като докладване на инциденти, сигурност на веригата на доставки и лична отговорност на ръководството - трябва да се работи допълнително. GAP анализът показва точно какво остава.

Какви са сроковете за докладване на инциденти?

Строги. Ранно предупреждение до съответния СЕРИКС - до 24 часа. Уведомление с първоначална оценка - до 72 часа. Окончателен доклад - до един месец. За доставчици на удостоверителни услуги срокът за уведомление е само 24 часа.

Колко време отнема постигането на NIS2 съответствие?

Зависи от текущото ви състояние. Ако вече имате ISO 27001 или добри практики по сигурността - 2 до 4 месеца. Ако започвате от нулата - 4 до 8 месеца. Започваме с GAP анализ, за да имате ясна представа за обема работа.

NIS2 Съответствие

От GAP анализ до подготовка за одит - помагаме ви за NIS2 съответствие без бюрокрация, с мерки, които реално помагат на бизнеса ви.

Съответствие с NIS2 - стъпка по стъпка

С промените в Закона за киберсигурност (ДВ, бр. 17 от 2026 г.) директивата NIS2 вече е българско законодателство. Ако организацията ви попада в обхвата - а с 17 сектора и размерни прагове, вероятността е голяма - имате конкретни задължения с реални санкции.

Не сте сигурни дали попадате в обхвата? Направете нашата безплатна NIS2 самооценка за 5 минути и разберете веднага.

Помагаме ви да постигнете NIS2 съответствие с мерки, които имат смисъл за вашия бизнес. Трите основни стъпки ви водят от оценка до готовност. Подготовката за одит и дългосрочното управление са за организации, които искат повече.

GAP анализ

Първата стъпка е да разберем къде стоите. Класифицираме организацията ви като съществен или важен субект по критериите на чл. 4а, картографираме текущото ви състояние спрямо 12-те категории мерки за управление на риска по чл. 22 и изготвяме приоритизирана пътна карта.

Класификация - определяме дали сте съществен или важен субект на база размер и сектор
Оценка на текущото състояние - какво вече покривате и къде са пропуските
Пътна карта - приоритизиран план с конкретни срокове и отговорници
Ясен обхват - кои системи, процеси и екипи са засегнати

Ако вече имате ISO 27001 сертификация, голяма част от мерките вероятно са покрити. GAP анализът ще покаже точно какво остава.

Управление на риска и политики

Законът изисква 12 категории мерки за управление на риска (чл. 22) - от анализ на рисковете и непрекъснатост на дейността до сигурност на веригата на доставки и криптография. Внедряваме ги заедно с вашия екип:

Политики за анализ на рисковете и сигурност на информационните системи
Процедури за управление на инциденти и непрекъснатост на дейността
Сигурност на веригата на доставки - оценка на доставчиците и техните практики
Контрол на достъпа, управление на активите и мрежова сигурност
Политики за криптиране, HR сигурност и обучение на персонала
Процедури за оценяване на ефективността на мерките

Не ви даваме шаблони и си тръгваме. Изграждаме процеси, които екипът ви реално ще следва - същият принцип, по който работим и при ISO 27001 внедряванията.

Готовност за реагиране при инциденти

NIS2 въвежда строг режим за докладване на инциденти към секторните СЕРИКС: ранно предупреждение до 24 часа, уведомление до 72 часа и окончателен доклад до един месец (чл. 23). За доставчиците на удостоверителни услуги срокът за уведомление е само 24 часа.

Изграждаме вашата готовност на практика:

Процедури за класификация и ескалация на инциденти
Шаблони за уведомления към СЕРИКС - готови за попълване при реален инцидент
Планове за комуникация - вътрешна и външна
Тестване на процесите чрез симулации, за да не се учите на живо

Подготовка за одит

Съществените субекти подлежат на редовни и целеви одити на сигурността от независим орган (чл. 27ж), а важните - на целеви одити. Разходите са за сметка на организацията (чл. 27з). Подготовката е по-евтина от несъответствието, а резултатите от одита се предоставят на националните компетентни органи.

Какво правим:

Предварителна проверка на готовността спрямо изискванията на закона
Преглед на документацията и доказателствата за изпълнение на мерките
Симулация на одитния процес - за да няма изненади
План за отстраняване на установени пропуски с ясни приоритети

Ако имате нужда от вътрешен одит по ISO 27001, подходът е подобен и двете услуги се допълват естествено.

Дългосрочно NIS2 управление

NIS2 не е еднократен проект. Чл. 21 въвежда лична отговорност за ръководството и задължително обучение по киберсигурност поне на всеки две години. Необходим е непрекъснат надзор - оценка на ефективността на мерките, актуализация на политики при нови заплахи, управление на рисковете от веригата на доставки.

Не ви трябва щатен CISO за тази задача. Нашата vCISO услуга покрива точно това - стратегическо ръководство, управление на съответствието и обучение на ръководството, без щатната позиция. Така NIS2 управлението остава професионално и последователно, без да натоварвате бюджета си с позиция на пълен работен ден.

Защо да работите с нас

Познаваме закона в детайли - проверили сме всяка разпоредба от измененията на Закона за киберсигурност, не работим по предположения
ISO 27001 синергия - повечето NIS2 мерки се припокриват с ISO 27001, а ние имаме десетки успешни внедрявания
Практичен подход - изграждаме работещи процеси, не бюрократични чекбокс системи
Познаваме българския контекст - от секторните СЕРИКС и националните компетентни органи до сроковете и санкциите по закона

Следваща стъпка

Не сте сигурни дали вашата организация попада в обхвата на NIS2? Започнете с нашата безплатна NIS2 самооценка — отнема под 5 минути. За детайлна експертна оценка, нека поговорим.

За подробен преглед на всички промени в Закона за киберсигурност, вижте нашия анализ на NIS2 и промените от 2026 г..