NIS2 в България: Закон за киберсигурност 2026 - Пълен правен анализ
Анализ на транспонирането на Директива NIS2 в българското законодателство - обхват, задължения, срокове за докладване, санкции и практически стъпки за съответствие.
Директива NIS2 вече е действащо право в България. С обнародването в Държавен вестник бр. 17 от 13 февруари 2026 г. на Закона за изменение и допълнение на Закона за киберсигурност (ЗКС), задълженията за средни и големи предприятия в 18 сектора са факт - не проект, не план, а норми с пряко действие. Закъснението спрямо крайния срок за транспониране (17 октомври 2024 г.) е над 15 месеца, но това не намалява тежестта на изискванията.
Настоящият анализ обхваща нормативната рамка след измененията, класификацията на съществени и важни субекти, 11-те задължителни мерки за управление на риска, новата система за докладване на инциденти, санкционния режим (включително персоналната отговорност на управителите) и практическите стъпки за постигане на съответствие преди 1 юни 2026 г., когато изтича периодът с намалени санкции.
❓Какво е NIS2 и кого засяга в България?
Какво е NIS2 и защо е важна за България
Директива (ЕС) 2022/2555 (NIS2) е приета на 14 декември 2022 г. и заменя предходната Директива (ЕС) 2016/1148 (NIS1). Основната причина за приемането на NIS2 е драстичното увеличение на кибератаките в ЕС и констатираната неефективност на NIS1 - твърде тесен обхват (само 6 сектора), непоследователно прилагане между държавите членки и липса на ефективен санкционен механизъм.
NIS2 разширява обхвата от 6 на 18 сектора, въвежда ясно разграничение между съществени и важни субекти, хармонизира минималните мерки за киберсигурност и установява строг режим за докладване на инциденти. В България транспонирането беше извършено чрез ЗИД на ЗКС, приет на второ четене от Народното събрание на 5 февруари 2026 г. и обнародван в ДВ бр. 17 от 13 февруари 2026 г.
18
Сектора обхванати от NIS2 - три пъти повече от NIS1, която покриваше само 6 сектора
Източник: Директива (ЕС) 2022/2555, Приложения I и II
Нормативна рамка: ЗКС след измененията от 2026 г.
Законът за киберсигурност (ЗКС) е основният нормативен акт, транспониращ изискванията на NIS2 в българското законодателство. Измененията от февруари 2026 г. въвеждат нови глави и разширяват съществуващите разпоредби. Централно място заемат новите чл. 4а (класификация на субектите), чл. 22 (задължителни мерки) и чл. 23 (докладване на инциденти), както и изцяло новата Глава IIв за контрол и надзор (чл. 27е-27о).
Закон за киберсигурност
чл. 4, ал. 1 (изм. ДВ бр. 17/2026)
„Този закон се прилага за административните органи по смисъла на Закона за администрацията и за субектите, извършващи дейности в секторите по Приложения 1 и 2.“
Закон за киберсигурност
чл. 4а, ал. 1 (нов, ДВ бр. 17/2026)
„Съществени субекти са субектите, извършващи дейности в секторите по Приложение 1, които отговарят на критериите за средно или голямо предприятие по смисъла на Закона за малките и средните предприятия.“
Предстои приемане на подзаконов акт - наредба по чл. 3, ал. 2 ЗКС, в срок от 8 месеца от влизането в сила на закона (т.е. до октомври 2026 г.). Тази наредба ще конкретизира техническите и организационните мерки, приложими за различните категории субекти. До приемането на наредбата субектите следва да се ръководят от разпоредбите на закона и от самата Директива NIS2, която е достатъчно детайлна в описанието на мерките.
Съществени и важни субекти: Кого засяга NIS2
Едно от най-съществените нововъведения на NIS2 е ясното разграничение между два типа задължени субекти - съществени и важни. Това разграничение определя не само интензивността на надзора, но и размера на санкциите. Класификацията зависи от два фактора: сектора на дейност и размера на предприятието.
| Критерий | Съществени субекти (Приложение 1) | Важни субекти (Приложение 2) |
|---|---|---|
| Сектори | Енергетика, транспорт, банково дело, финансови пазари, здравеопазване, питейна вода, отпадъчни води, цифрова инфраструктура, ИКТ услуги (B2B), публична администрация, космическо пространство | Пощенски услуги, управление на отпадъци, химикали, храни, производство (медицински изделия, компютри, електроника, машини, МПС), цифрови доставчици, научни изследвания |
| Размер | Средни и големи предприятия (250+ служители или оборот 50+ млн. евро) | Средни предприятия (50-249 служители или оборот 10-50 млн. евро) |
| Контрол | Предварителен (ex-ante) - проактивни проверки | Последващ (ex-post) - само при доказателства за нарушение |
| Максимална санкция | 20 000 000 лв. или 2% от глобалния оборот | 14 000 000 лв. или 1,4% от глобалния оборот |
| Минимална санкция | 50 000 лв. | 25 000 лв. |
Закон за киберсигурност
чл. 6 (изм. ДВ бр. 17/2026)
„Министърът на електронното управление създава и поддържа непубличен регистър на съществените и важните субекти, извършващи дейности в секторите по Приложения 1 и 2.“
Следва да се отбележи, че за определени категории доставчици (доставчици на DNS услуги, на облачни услуги, на услуги за центрове за данни, доставчици на мрежи за доставка на съдържание, доставчици на удостоверителни услуги и доставчици на публични електронни съобщителни мрежи) правилото за размер не се прилага - те попадат в обхвата независимо от броя на служителите и оборота.
Внимание
Имаш въпрос за NIS2 и Закона за киберсигурност?
Попитай Правко и получи отговор с цитати от закони.
11 задължителни мерки за управление на риска (чл. 22 ЗКС)
Сърцевината на задълженията по NIS2 са 11-те мерки за управление на риска по чл. 22 ЗКС, транспониращ чл. 21 от Директивата. Подходът е рисково-базиран и пропорционален - мерките трябва да отчитат размера на субекта, вероятността за настъпване на инциденти и тяхното потенциално въздействие. Управителните органи одобряват мерките и следят прилагането им (чл. 21 ЗКС), като носят персонална отговорност при неизпълнение.
11 задължителни мерки по чл. 22 ЗКС
Политики за анализ на риска и сигурност на информационните системи*
Действия при инциденти (предотвратяване, откриване, реагиране, възстановяване)*
Непрекъснатост на дейността и управление на кризи (вкл. резервни копия и възстановяване след бедствие)*
Сигурност на веригата за доставки (вкл. отношения с преки доставчици и доставчици на услуги)*
Сигурност при придобиване, разработване и поддръжка на мрежови и информационни системи (вкл. третиране на уязвимости)*
Политики и процедури за оценка на ефективността на мерките за управление на риска*
Основни практики за киберхигиена и обучение по киберсигурност*
Политики и процедури за използване на криптография (и криптиране, когато е уместно)*
Сигурност на човешките ресурси, политики за контрол на достъпа и управление на активи*
Използване на многофакторно удостоверяване (MFA) или решения за непрекъснато удостоверяване*
Използване на защитени гласови, видео- и текстови комуникации и защитени системи за спешна комуникация*
* Задължителни документи
Закон за киберсигурност
чл. 21, ал. 2 (изм. ДВ бр. 17/2026)
„Управителните органи на съществените и важните субекти одобряват мерките за управление на риска за киберсигурността, следят за прилагането им и могат да бъдат подведени под отговорност за нарушения. Членовете на управителните органи преминават обучение по киберсигурност не по-рядко от веднъж на две години.“
Задължителното обучение на ръководители е нововъведение, което заслужава особено внимание. Законът изисква всеки член на управителния орган да преминава обучение по киберсигурност не по-рядко от веднъж на 2 години. Неизпълнението на това задължение може да доведе до персонална глоба от 1 000 до 10 000 лв.
Докладване на инциденти: Новата система по чл. 23 ЗКС
NIS2 въвежда стриктна 4-степенна система за докладване на значителни инциденти по киберсигурността. Субектите са длъжни да уведомяват националния СЕРИКС (Секторен екип за реагиране при инциденти в киберсигурността) в строго определени срокове. Системата е значително по-детайлна от предходната рамка и включва механизъм за обратна връзка от компетентния орган.
Процедура за докладване на инциденти (чл. 23 ЗКС)
Ранно предупреждение (до 24 часа)
Уведомление за инцидент (до 72 часа)
Междинен доклад (при поискване)
Окончателен доклад (до 1 месец)
Ранно предупреждение (до 24 часа)
Уведомление за инцидент (до 72 часа)
Междинен доклад (при поискване)
Окончателен доклад (до 1 месец)
24 часа
Максимален срок за изпращане на ранно предупреждение до СЕРИКС от момента на узнаване на значителен инцидент по киберсигурността
При неспазване - санкции по чл. 28-29 ЗКС
Значителен е инцидент, който оказва или може да окаже значимо въздействие върху предоставяната от субекта услуга. Критериите включват: (1) сериозно оперативно прекъсване на услугата или финансови загуби за субекта; (2) засягане на други физически или юридически лица чрез причиняване на значителни материални или нематериални вреди.
СЕРИКС дължи отговор в рамките на 24 часа след получаване на ранното предупреждение, като предоставя насоки или техническа подкрепа. Законът допуска и доброволно докладване от субекти, които не попадат в обхвата на ЗКС, без това да поражда допълнителни задължения за тях.
Санкции и персонална отговорност
Санкционният режим по изменения ЗКС е безпрецедентен за българското законодателство в областта на киберсигурността. Размерите на глобите са съизмерими с тези по Регламент (ЕС) 2016/679 (GDPR), което не е случайно - NIS2 следва GDPR модела на санкциониране с оборотно-зависими глоби.
Санкции по категории субекти
Съществени субекти - максимум
Прилага се по-голямата от двете стойности
20 000 000 лв. или 2% от глобалния годишен оборот
Важни субекти - максимум
Прилага се по-голямата от двете стойности
14 000 000 лв. или 1,4% от глобалния годишен оборот
Съществени субекти - минимум
50 000 лв.
Важни субекти - минимум
25 000 лв.
Глоба за управители лично
За неодобряване на мерки или непреминаване на обучение
1 000 - 10 000 лв.
Неизпълнение на предписания (първо)
2 500 - 12 000 евро
Неизпълнение на предписания (повторно)
5 000 - 25 000 евро
Общо
117,00 лв
Важно
50%
Намаление на санкциите в преходния период до 1 юни 2026 г. - след тази дата се прилагат пълните размери
Източник: ЗКС, Преходни и заключителни разпоредби
Контрол и надзор (Глава IIв, чл. 27е-27о ЗКС)
Изцяло новата Глава IIв на ЗКС установява диференциран режим на контрол в зависимост от категорията на субекта. Компетентен орган е Министерството на електронното управление (МЕУ), което разполага със широки правомощия за проверки, одити и принудителни мерки.
| Аспект | Съществени субекти | Важни субекти |
|---|---|---|
| Тип контрол | Предварителен (ex-ante) - проактивни планови и извънпланови проверки | Последващ (ex-post) - само при доказателства за нарушение или значителен инцидент |
| Планови проверки | Да - по предварително утвърден план на МЕУ | Не - само при конкретен повод |
| Целеви одити | Да - разходите се заплащат от проверявания субект | Да - при доказателства за нарушение |
| Достъп до данни | Пълен - при поискване от компетентния орган | При конкретен повод |
| Спиране на дейност | Възможно - като крайна мярка при системни нарушения | Не |
Компетентният орган разполага със 7 основни правомощия: (1) планови проверки, (2) извънпланови проверки, (3) целеви одити на сигурността, (4) сканиране на сигурността, (5) искане на информация и документи, (6) предписания за отстраняване на нарушения и (7) публично обявяване на нарушения. Принудителните мерки следват ескалационен модел: предупреждения, предписания със срок, разпореждания за незабавно изпълнение и в краен случай - публично обявяване на нарушението.
Закон за киберсигурност
чл. 27е (нов, ДВ бр. 17/2026)
„Министърът на електронното управление или оправомощени от него длъжностни лица осъществяват контрол по спазването на изискванията на този закон чрез планови и извънпланови проверки, целеви одити на сигурността и сканиране на сигурността.“
Практически стъпки за съответствие
Постигането на съответствие с NIS2 изисква системен подход. Следващият контролен списък обобщава ключовите стъпки, които организациите трябва да предприемат. Критично е да се отбележи, че периодът с намалени санкции (50%) изтича на 1 юни 2026 г. - след тази дата се прилагат пълните размери на глобите.
Контролен списък за съответствие с NIS2
Определете дали организацията е съществен или важен субект (проверете сектор по Приложения 1/2 + размер на предприятието)*
Назначете отговорно лице (CISO/DPO) и осигурете обучение на всички членове на управителния орган*
Извършете GAP анализ - сравнете текущите мерки за сигурност с 11-те изисквания по чл. 22 ЗКС*
Разработете или актуализирайте политики за информационна сигурност, анализ на риска и план за непрекъснатост*
Внедрете план за реагиране при инциденти с ясни процедури за 24h/72h/1m докладване*
Внедрете MFA, криптиране, мониторинг и контрол на достъпа - техническите мерки по чл. 22*
Осигурете сигурност на веригата за доставки - включете клаузи за киберсигурност в договорите с доставчици*
Установете програма за редовно обучение по киберхигиена за всички служители*
Проведете пенетрационно тестване и оценка на уязвимостите
Подгответе се за регистрация в непубличния регистър на МЕУ (чл. 6 ЗКС)*
* Задължителни документи
1 юни 2026
Край на преходния период с 50% намалени санкции. След тази дата се прилагат пълните размери на глобите по чл. 28-29 ЗКС.
Остават по-малко от 2 месеца за постигане на базово съответствие
Информация
Правко предоставя правна информация, но не замества консултация с адвокат. За конкретна оценка на съответствието с NIS2 се обърнете към специалист по киберсигурност и IT право.
⚠️ Важно
Правко предоставя правна информация, но не замества консултация с адвокат. За важни правни въпроси се консултирайте с лицензиран юрист.
