След продължително забавяне спрямо европейския срок, Народното събрание прие измененията в Закона за киберсигурност на 5 февруари 2026 г. Те бяха обнародвани в Държавен вестник на 13 февруари и влязоха в сила на 17 февруари 2026 г. С тях директивата NIS2 официално стана част от българското право — и киберсигурността от «IT тема» се превърна в законово задължение на ръководството.
Кой попада в обхвата
Законът разделя организациите на съществени и важни субекти. Обхватът е значително по-широк от преди: освен енергетика, транспорт, банки, здравеопазване и водоснабдяване, вече включва и управление на отпадъци, електронни съобщения, производство и дистрибуция на храни, центрове за данни, доставчици на ИКТ услуги и публичната администрация. Хиляди български компании попадат в регулация за първи път.
Важен нюанс: дори да не сте директно в списъка, ако сте доставчик на регулиран субект, изискванията стигат до вас през веригата на доставки — вашите клиенти ще изискват от вас доказуеми мерки за сигурност.
Основните задължения
Управление на риска. Субектите трябва да прилагат подходящи технически, оперативни и организационни мерки: политики за риск и инциденти, непрекъснатост на бизнеса, сигурност на веригата на доставки, киберхигиена и обучения, криптиране и контрол на достъпа.
Лична отговорност на ръководството. Управителните органи одобряват и надзирават мерките — и подлежат на обучение по киберсигурност на всеки две години. Отговорността вече не може да се «делегира на IT».
Докладване на инциденти в строги срокове:
Какво става при неспазване
Санкционният режим следва европейския модел с многостепенни глоби, а надзорните органи получават разширени правомощия — включително периодични санкции. Но по-важният риск за повечето компании не е глобата, а операционният: инцидент без готовност означава дни престой, загубени данни и загубено доверие.
Не чакайте формално определяне като субект. Направете обхватна оценка сега: попадате ли в секторите, какъв е размерът ви, кои клиенти ще изискват съответствие от вас. Подготовката отнема месеци — определянето може да дойде по-бързо.
Как да се подготвите — петте стъпки
1) Определете дали и как попадате в обхвата. 2) Направете одит на текущото състояние спрямо изискванията. 3) Затворете пропуските — MFA, резервни копия, контрол на достъпа, политики. 4) Изгответе план за реакция при инциденти със сроковете 24ч/72ч/30д. 5) Обучете ръководството и екипа, и въведете постоянен мониторинг.
Пълния път към съответствие сме описали на страницата Киберсигурност — одит и защита на данни.
Често задавани въпроси
Кога влезе в сила NIS2 в България?
Измененията в Закона за киберсигурност бяха приети на 5 февруари 2026 г., обнародвани на 13 февруари и влязоха в сила на 17 февруари 2026 г.
Малка фирма сме — засяга ли ни?
Директно — само ако сте в регулиран сектор и над праговете. Индиректно — да, ако обслужвате регулирани клиенти: те ще изискват мерки от доставчиците си.
Откъде да започнем?
С обхватна оценка и одит на пропуските (gap analysis) — той показва точно какво ви липсва и в какъв ред да го изградите.