Съответствието с NIS2 означава организацията да управлява киберриска системно: да знае кои системи са критични, да прилага конкретни технически и организационни мерки, да може да докладва значими инциденти и да ангажира ръководството с лична отговорност за сигурността. В България директивата действа чрез измененията в Закона за киберсигурност, които са в сила от 17 февруари 2026 г. Този checklist превежда изискванията на езика на практиката — какво реално трябва да свършите и в какъв ред.
Кой попада в обхвата на NIS2?
Обхватът на NIS2 е значително по-широк от този на предишните правила. Той включва не само класическата критична инфраструктура — енергетика, транспорт, банки, здравеопазване, водоснабдяване, дигитална инфраструктура — но и сектори, които доскоро оставаха встрани: производство на определени продукти, хранителна промишленост, куриерски и пощенски услуги, управление на отпадъци, доставчици на ИТ услуги. Като общо правило в обхвата влизат средните и големите компании от тези сектори, разделени в две категории — съществени и важни субекти, с различна интензивност на надзора.
Има и втори, по-коварен механизъм: веригата на доставки. Дори компанията ви да не е в списъка, ваш клиент може да е — и тогава изискванията пристигат при вас не от регулатора, а от договора. Все повече обхванати организации искат от доставчиците си доказуеми мерки за сигурност, преди да подпишат или подновят договор. Как точно директивата е пренесена у нас, разгледахме подробно в статията „NIS2 в България: какво изисква новият Закон за киберсигурност“.
Какви мерки изисква NIS2 — десетте области
Ядрото на NIS2 е списък от области, в които всяка обхваната организация трябва да има работещи, документирани мерки. Ето ги като checklist:
1. Анализ и управление на риска. Знаете кои са критичните ви системи и данни, какви са заплахите за тях и какво правите по всяка от тях.
2. Политики за сигурност. Написани, актуални и познати на хората — не папка, отворена веднъж при одит.
3. Обработка на инциденти. Дефиниран процес: кой открива, кой преценява тежестта, кой действа, кой уведомява.
4. Непрекъснатост на бизнеса и възстановяване. Резервни копия, които реално се тестват, и план какво работи първо след срив. Защо това е мярката, която най-често решава изхода от атака, обяснихме в „Ransomware и резервни копия: планът, който спасява бизнеса“.
5. Сигурност на веригата на доставки. Оценявате рисковете при ключовите си доставчици и вписвате изисквания за сигурност в договорите.
6. Сигурност при придобиване и поддръжка на системи. Нови системи се избират и внедряват с оглед на сигурността, а съществуващите се обновяват навреме.
7. Оценка на ефективността. Периодично проверявате дали мерките работят — с одити, тестове и прегледи, не по усещане.
8. Киберхигиена и обучение. Служителите разпознават фишинг, знаят какво да докладват и към кого; ръководството също минава обучение.
9. Криптография. Чувствителните данни са шифровани при пренос и съхранение, с ясни правила кога и как.
10. Контрол на достъпа и автентикация. Всеки има достъп само до нужното, правата се преглеждат редовно, а критичните системи са защитени с многофакторна автентикация. Откъде да започнете тук — вижте „Одит на достъпите: кой какво вижда във вашите системи“.
NIS2 не изисква конкретен продукт или марка софтуер. Изисква доказуемо управляван риск — мерки, които съществуват, прилагат се и оставят следа. Документ без практика не е съответствие.
Докладване на инциденти: какво трябва да можете
NIS2 задължава обхванатите организации да уведомяват компетентния орган за значими инциденти — в кратки, законово определени срокове, които се измерват в часове, не в седмици. Това е изпълнимо само ако процесът е подготвен предварително: кой преценява дали инцидентът е значим, кой подава уведомлението, по кой канал и с каква информация. Ако това се измисля по време на атаката, сроковете са изпуснати още преди първото решение. Как изглежда добре подготвената реакция час по час, описахме в „План за реакция при киберинцидент: първите 72 часа“.
Каква е отговорността на ръководството?
Една от най-съществените промени в NIS2 е, че киберсигурността спира да бъде „проблем на ИТ отдела“. Ръководните органи одобряват мерките за управление на риска, надзирават прилагането им и носят отговорност при неизпълнение — включително лична. На практика това означава три неща: сигурността влиза като редовна точка в управленските срещи, ръководството минава обучение, за да разбира какво одобрява, и решенията за бюджет и приоритети се вземат информирано, а не се делегират мълчаливо надолу.
Как се минава от изисквания към план: пет стъпки
1. Определете статута си. Проверете дали попадате в обхвата пряко или ще получите изискванията през клиентите си. Това определя темпото и дълбочината на всичко останало.
2. Направете одит на текущото състояние. Съпоставете десетте области с това, което реално имате. Разликата между двете е вашият работен списък. Как протича такава проверка и какво получавате накрая — в „Одит на киберсигурността: как протича и какво получавате“.
3. Приоритизирайте по риск. Първо мерките, които пазят от най-вероятните и най-скъпите сценарии — резервни копия, достъпи, многофакторна автентикация, обучение. После останалото.
4. Внедрете и документирайте едновременно. Всяка мярка се въвежда заедно със следата, която доказва, че работи: политика, отговорник, дата на последна проверка.
5. Направете го цикъл. Тестове на възстановяването, преглед на достъпите, опресняване на обученията — по календар, не при повод.
Най-честите грешки при подготовката
Първата е съответствието да се третира като еднократен проект — папка с политики, предадена и забравена. NIS2 изисква процес, който живее. Втората е обратната крайност: купуват се технологии, преди да е ясно кой риск покриват. Третата е да се забравят доставчиците — сигурността на веригата на доставки е пълноценно изискване, не бележка под линия. И четвъртата е отлагането: мерките от списъка отнемат месеци, а не дни, и започването „когато ни потърсят“ означава започване твърде късно. Ако предпочитате този път да се извърви с опитен партньор, услугата Киберсигурност покрива целия цикъл — от одита до внедряването и поддръжката на мерките.
Често задавани въпроси
Как да разбера дали фирмата ми попада в обхвата на NIS2?
Проверете две неща: дали дейността ви е в някой от секторите, изброени в закона, и дали компанията е от съответната категория по размер. При гранични случаи потърсете правна консултация — а дори да сте извън обхвата, клиентите ви по веригата на доставки може да ви поставят същите изисквания.
Какво става, ако не изпълним изискванията на NIS2?
Законът предвижда санкции и лична отговорност за ръководството. По-големият риск обаче остава реалният инцидент — мерките, които NIS2 изисква, са същите, които предпазват бизнеса от спиране и загуба на данни.
NIS2 отнася ли се и за малки фирми?
Пряко обхватът покрива основно средни и големи компании в определени сектори. Малките фирми обаче често са засегнати косвено — като доставчици на обхванати организации, които изискват от партньорите си доказуеми мерки за сигурност.