Финтех стартъп ли съм - попадам ли в обхвата на NIS2?

Финансовият сектор е изрично включен в NIS2 като съществен сектор. Ако обработвате плащания, предоставяте кредити, управлявате инвестиции или предлагате електронни пари и имате 50+ служители или 10+ млн. евро оборот, почти сигурно попадате. По-малките финтех компании могат да попаднат като важни субекти. Направете нашата безплатна NIS2 самооценка за 5 минути, за да разберете.

Имаме DORA програма - покрива ли NIS2?

Частично. DORA и NIS2 се застъпват в около 60-70% от изискванията - управление на ИКТ риска, тестване на устойчивостта, управление на инциденти. Ключовата разлика: DORA е по-детайлна за ИКТ и се прилага директно от ЕБО/ЕSМА, докато NIS2 добавя изисквания за сигурност на веригата на доставки, криптография и HR сигурност, надзирани от БНБ в България. Нужен е GAP анализ, за да видите точно какво остава.

Какви са сроковете за докладване на инциденти за финтех?

Строги и не търпят грешка. Ранно предупреждение до съответния СЕРИКС - до 24 часа от установяване на значим инцидент. Уведомление с първоначална оценка - до 72 часа. Окончателен доклад - до един месец. За финтех компании с PSD2 лиценз вероятно имате и паралелно задължение за докладване към БНБ. Двата процеса трябва да са координирани предварително - не при реален инцидент.

Колко време отнема NIS2 съответствие за финтех стартъп?

Реалистично: 3-5 месеца за компания с 20-80 служители, която вече е наясно с рисковете си. Ако имате действащи процеси за управление на риска заради PSD2 или DORA - по-близо до 3 месеца. Ако започвате от нулата - по-близо до 5. Не обещаваме 6 седмици. Правим го правилно или не го правим.

Трябва ли ни щатен CISO за NIS2 съответствие?

Не е задължително. NIS2 изисква ръководството да е ангажирано и обучено по киберсигурност, но не изисква конкретна длъжност. За повечето финтех стартъпи нашата vCISO услуга е по-практична - получавате стратегическо ръководство, управление на съответствието и обучение на ръководството, без разходите за пълен работен ден.

NIS2 за финтех компании

Финтехът е изрично в обхвата на NIS2 - финансовият сектор е съществен. Вижте кои мерки имат значение, как се застъпва с DORA и какво очаква БНБ.

NIS2 и финтехът - не е избор

Ако вашата финтех компания обработва плащания, управлява активи или предоставя кредити в България, NIS2 не е нещо, което може да изчакате. Финансовият сектор е изрично класифициран като съществен в Закона за киберсигурност (ДВ, бр. 17 от 2026 г.) - с пропорционално по-строги изисквания и по-чести одити.

Не сте сигурни дали вашата компания попада? Направете нашата безплатна NIS2 самооценка за 5 минути.

Sofia Tech Park е дом на 173+ финтех компании - от Payhawk до десетки по-малки стартъпи в платежни технологии, lending и wealth management. Повечето от тях вече имат регулаторен опит - PSD2 лицензи, GDPR програми, някои и DORA. Добрата новина: тази база ви поставя напред. Лошата: NIS2 добавя конкретни изисквания, които не са покрити от нито един от тези режими.

Защо финтехът е под по-голям натиск

Съществените субекти в NIS2 - а финансовият сектор е точно това - са изложени на редовни одити на сигурността от независим орган (чл. 27ж от Закона за киберсигурност). Разходите са за сметка на организацията. Санкциите достигат до 10 млн. евро или 2% от годишния оборот.

За финтех компаниите в България надзорният орган е БНБ. Това означава, че резултатите от одитите се предоставят на БНБ - не просто на абстрактен регулатор, а на органа, който управлява вашия лиценз. Освен това секторният СЕРИКС за финансовия сектор очаква доклади за инциденти в реални срокове, не в удобно за вас времеви рамки.

Три фактора правят NIS2 по-сложен за финтех:

Паралелни задължения - PSD2, DORA и NIS2 се застъпват, но не се покриват напълно. Управлявате три режима едновременно.
Верига на доставки - Payment processors, cloud провайдъри, KYC/AML доставчици. Всеки е потенциална уязвимост по чл. 22 от закона.
Скорост на растеж - Стартъпите добавят системи и хора бързо. Контролите трябва да следват темпото.

Кои NIS2 мерки имат най-голямо значение за финтех

Управление на инциденти и 24-часовото правило

Най-честата грешка, която виждаме: финтех компании, които имат добри технически контроли, но нямат процедура за класификация и ескалация на инциденти. При реален инцидент губят часове в обсъждане дали е “значим” по смисъла на закона.

NIS2 изисква ранно предупреждение до СЕРИКС до 24 часа от установяването на значим инцидент (чл. 23). Уведомление с оценка - до 72 часа. Ако имате и PSD2 лиценз, паралелно докладвате към БНБ. Двата процеса трябва да са координирани предварително - с ясни отговорности, шаблони и ескалационни пътеки.

Изграждаме тези процедури заедно с вашия екип и ги тестваме чрез симулации. Не искаме да ги учите на живо.

Сигурност на веригата на доставки

Финтех компаниите разчитат на екосистема от доставчици: payment processors, banking APIs, cloud инфраструктура, identity verification. Чл. 22 от Закона за киберсигурност изисква оценка на практиките за сигурност на всеки доставчик.

На практика това означава: договорни клаузи за сигурност, периодична оценка на доставчиците и процес за управление при промяна. Ако доставчикът ви е голяма платформа като Stripe или AWS - те имат готова документация. Проблемът е по-малките, по-специализирани доставчици, при които трябва да изградите оценката от нулата.

Непрекъснатост на дейността

За финтех RPO и RTO не са просто технически параметри - те са регулаторни изисквания. NIS2 изисква планове за непрекъснатост, редовно тествани. При финансови услуги прекъсването означава пряка вреда за клиентите - което регулаторите третират изключително сериозно.

DORA и NIS2 - как се застъпват

Ако сте под DORA - а повечето лицензирани финтех компании са - имате добра основа. DORA и NIS2 се покриват в около 60-70% от изискванията, особено в управлението на ИКТ риска и тестването на устойчивостта.

Ключовите разлики, за които трябва да се подготвите:

Верига на доставки - DORA фокусира върху ИКТ доставчиците. NIS2 разширява обхвата до всички доставчици с достъп до системи или данни.
HR сигурност - NIS2 изисква политики за проверка на персонала и обучение, което DORA не покрива директно.
Надзорен орган - DORA е под ЕБО/ESMA. NIS2 е под БНБ за финансовия сектор в България. Докладвате на различни органи.

Не правете грешката да приемете, че DORA е достатъчно. Нужен е GAP анализ, за да видите точно какво остава.

Типичен обхват и срокове за финтех

За финтех компания с 20-80 служители, работеща с payment processing или lending, типичният ни ангажимент изглежда така:

Месец 1: GAP анализ спрямо 12-те категории мерки, класификация като съществен/важен субект, картографиране на веригата на доставки.

Месец 2-3: Внедряване на приоритетните мерки - процедури за управление на инциденти с 24/72-часовите изисквания, политики за сигурност на доставчиците, актуализиране на плановете за непрекъснатост.

Месец 4-5: Документация за одит, обучение на ръководството (задължително по чл. 21), симулации на инциденти и финална проверка на готовността.

Ако вече имате ISO 27001 или работеща DORA програма, можем да скъсим срока. Ако започвате от нулата, 5 месеца е реалистичното очакване - не 6 седмици.

Честите грешки, които виждаме

Объркване между DORA и NIS2. “Покрити сме от DORA” - чуваме го често. Разликата е реална и одиторите я знаят.

Подценяване на веригата на доставки. Финтех компаниите разчитат на много повече доставчици отколкото si мислят. Едва при картографирането стават ясни мащабите.

Неготовност за 24-часовото правило. Имате технически мониторинг, но нямате процедура кой взима решението, кой се обажда на СЕРИКС и какво точно се казва. При реален инцидент тези 24 часа изтичат много бързо.

Ръководството не е ангажирано. NIS2 въвежда лична отговорност за мениджмънта (чл. 21). Не е достатъчно да имате технически екип, който “се занимава с NIS2”.

Как работим с финтех компании

Не ви даваме шаблонни политики и се измъкваме. Изграждаме процеси, съобразени с вашата архитектура, вашите доставчици и вашия регулаторен контекст. Работили сме с компании, обработващи стотици хиляди транзакции дневно - знаем какво означава “реален инцидент” при payment processing.

Ако вече имате ISO 27001 сертификация, работим директно върху пропуските - без да преправяме това, което вече работи. Ако нямате, NIS2 ангажиментът може да служи като основа за бъдеща ISO 27001 работа.

За текущо управление на съответствието след внедряването, включително задължителните обучения на ръководството на всеки две години, нашата vCISO услуга е естественото продължение.

Следваща стъпка

Не сте сигурни дали и как NIS2 се прилага за вашата конкретна ситуация? Започнете с безплатната NIS2 самооценка - отнема под 5 минути и дава конкретна отправна точка. За разговор за вашия конкретен контекст - платежни технологии, lending, wealth management - нека поговорим.

Искате да разберете как NIS2 се вписва в цялостната ви NIS2 програма? Там ще намерите пълната картина на услугата.

NIS2 за финтех компании

Често задавани въпроси