С обнародването на промените в Закона за киберсигурност (Държавен вестник, бр. 17 от февруари 2026 г.), България официално навлезе в ерата на NIS-2. Тази нова регулаторна рамка не е просто „козметичен ремонт“ на стария закон, а фундаментална промяна в начина, по който държавата и бизнесът се отнасят към киберзаплахите.
В CyberOne анализирахме детайлно новите текстове. Ето най-важните разлики, които трябва да знаете, и защо законодателят е предвидил „гратисен“ период по отношение на санкциите.
1. Каква е разликата между „стария“ закон и NIS-2?
Докато предишната регулация се фокусираше основно върху тесен кръг от стратегически предприятия, NIS-2 разширява обхвата си мащабно:
- От 7 на 18 сектора: Вече не говорим само за банки, енергетика и телекоми. В обхвата влизат производство на храни, куриерски услуги, управление на отпадъци, публична администрация, производство на критични продукти и много други.
- Веригата на доставки: Това е една от най-големите новости. Вие вече носите отговорност не само за своята сигурност, но и за тази на вашите доставчици. Ако ваш партньор (например облачна услуга или ИТ поддръжка) бъде компрометиран и това засегне дейността ви, вие ще бъдете обект на проверка.
- Степените на риск: Компаниите се делят на „съществени“ и „важни“ субекти. Дори ако сте средно голяма фирма, ако услугите ви са ключови за региона или веригата на доставки, вие попадате под ударите на закона.
2. Управленска отговорност: Киберсигурността вече не е ИТ тема
Законът премахва възможността ръководството да каже „това е работа на ИТ отдела“.
- Лична отговорност: Членовете на управителните органи вече са длъжни лично да одобряват мерките за управление на киберриска.
- Обучение: Мениджмънтът е задължен да преминава специализирани обучения. Целта е решенията за сигурност да се вземат от хора, които разбират бизнес последиците от една атака.
- Санкции за ръководители: Законът позволява на надзорните органи временно да отстраняват ръководители от длъжност, ако системно пренебрегват изискванията за киберсигурност.
3. Режимът на „бързо докладване“: 24-часовият прозорец
NIS-2 въвежда поетапно докладване при инцидент, което изисква изключителна скорост:
- Ранно предупреждение: До 24 часа от узнаването трябва да подадете сигнал, че има проблем.
- Междинна оценка: До 72 часа трябва да представите по-подробен анализ на инцидента.
- Окончателен доклад: До един месец се представя пълно описание с предприетите мерки.
4. Важно: Намалени глоби до 1 юли
Законодателят разбира, че преходът към тези строги изисквания изисква време. В преходните и заключителни разпоредби на закона е заложен ключов детайл:
До 1 юли 2026 г. предвидените имуществени санкции и глоби за първоначални нарушения са в намален размер.
Този период не е време за изчакване, а прозорец за адаптация. Целта е бизнесът да инвестира средствата си в изграждане на защити, вместо в плащане на глоби. След 1 юли обаче санкциите скачат до нивата, заложени в европейската директива – до 10 милиона евро или проценти от общия световен оборот на компанията.
Какво трябва да направите веднага?
В CyberOne съветваме нашите клиенти да не губят време, защото изграждането на съответствие (compliance) отнема месеци.
- Проверете статуса си: Попадате ли в секторите на NIS-2?
- Направете Gap Analysis: Установете къде са пробойните в текущата ви защита спрямо новите изисквания.
- Обучете мениджмънта: Подгответе ръководството за новите правни отговорности.
- Ревизирайте договорите с доставчици: Уверете се, че вашите партньори също спазват стандартите.
Новият Закон за киберсигурност е инструмент, който ще направи българския бизнес по-конкурентоспособен на международния пазар, където сигурността вече е първото условие за партньорство.
CyberOne е вашият експертен партньор в този процес. Използвайте гратисния период разумно – подгответе се сега, за да сте спокойни след 1 юли.
