Блог · Киберсигурност · 10 февруари 2026 · 10 мин четене

NIS2 съответствие: пълният checklist за 2026

Кой попада в обхвата, какви мерки се изискват и как се минава от изисквания към план.

Съответствието с NIS2 означава организацията да управлява киберриска системно: да знае кои системи са критични, да прилага конкретни технически и организационни мерки, да може да докладва значими инциденти и да ангажира ръководството с лична отговорност за сигурността. В България директивата действа чрез измененията в Закона за киберсигурност, които са в сила от 17 февруари 2026 г. Този checklist превежда изискванията на езика на практиката — какво реално трябва да свършите и в какъв ред.

Кой попада в обхвата на NIS2?

Обхватът на NIS2 е значително по-широк от този на предишните правила. Той включва не само класическата критична инфраструктура — енергетика, транспорт, банки, здравеопазване, водоснабдяване, дигитална инфраструктура — но и сектори, които доскоро оставаха встрани: производство на определени продукти, хранителна промишленост, куриерски и пощенски услуги, управление на отпадъци, доставчици на ИТ услуги. Като общо правило в обхвата влизат средните и големите компании от тези сектори, разделени в две категории — съществени и важни субекти, с различна интензивност на надзора.

Има и втори, по-коварен механизъм: веригата на доставки. Дори компанията ви да не е в списъка, ваш клиент може да е — и тогава изискванията пристигат при вас не от регулатора, а от договора. Все повече обхванати организации искат от доставчиците си доказуеми мерки за сигурност, преди да подпишат или подновят договор. Как точно директивата е пренесена у нас, разгледахме подробно в статията „NIS2 в България: какво изисква новият Закон за киберсигурност“.

Какви мерки изисква NIS2 — десетте области

Ядрото на NIS2 е списък от области, в които всяка обхваната организация трябва да има работещи, документирани мерки. Ето ги като checklist:

1. Анализ и управление на риска. Знаете кои са критичните ви системи и данни, какви са заплахите за тях и какво правите по всяка от тях.

2. Политики за сигурност. Написани, актуални и познати на хората — не папка, отворена веднъж при одит.

3. Обработка на инциденти. Дефиниран процес: кой открива, кой преценява тежестта, кой действа, кой уведомява.

4. Непрекъснатост на бизнеса и възстановяване. Резервни копия, които реално се тестват, и план какво работи първо след срив. Защо това е мярката, която най-често решава изхода от атака, обяснихме в „Ransomware и резервни копия: планът, който спасява бизнеса“.

5. Сигурност на веригата на доставки. Оценявате рисковете при ключовите си доставчици и вписвате изисквания за сигурност в договорите.

6. Сигурност при придобиване и поддръжка на системи. Нови системи се избират и внедряват с оглед на сигурността, а съществуващите се обновяват навреме.

7. Оценка на ефективността. Периодично проверявате дали мерките работят — с одити, тестове и прегледи, не по усещане.

8. Киберхигиена и обучение. Служителите разпознават фишинг, знаят какво да докладват и към кого; ръководството също минава обучение.

9. Криптография. Чувствителните данни са шифровани при пренос и съхранение, с ясни правила кога и как.

10. Контрол на достъпа и автентикация. Всеки има достъп само до нужното, правата се преглеждат редовно, а критичните системи са защитени с многофакторна автентикация. Откъде да започнете тук — вижте „Одит на достъпите: кой какво вижда във вашите системи“.

Ключово

NIS2 не изисква конкретен продукт или марка софтуер. Изисква доказуемо управляван риск — мерки, които съществуват, прилагат се и оставят следа. Документ без практика не е съответствие.

Докладване на инциденти: какво трябва да можете

NIS2 задължава обхванатите организации да уведомяват компетентния орган за значими инциденти — в кратки, законово определени срокове, които се измерват в часове, не в седмици. Това е изпълнимо само ако процесът е подготвен предварително: кой преценява дали инцидентът е значим, кой подава уведомлението, по кой канал и с каква информация. Ако това се измисля по време на атаката, сроковете са изпуснати още преди първото решение. Как изглежда добре подготвената реакция час по час, описахме в „План за реакция при киберинцидент: първите 72 часа“.

Каква е отговорността на ръководството?

Една от най-съществените промени в NIS2 е, че киберсигурността спира да бъде „проблем на ИТ отдела“. Ръководните органи одобряват мерките за управление на риска, надзирават прилагането им и носят отговорност при неизпълнение — включително лична. На практика това означава три неща: сигурността влиза като редовна точка в управленските срещи, ръководството минава обучение, за да разбира какво одобрява, и решенията за бюджет и приоритети се вземат информирано, а не се делегират мълчаливо надолу.

Как се минава от изисквания към план: пет стъпки

1. Определете статута си. Проверете дали попадате в обхвата пряко или ще получите изискванията през клиентите си. Това определя темпото и дълбочината на всичко останало.

2. Направете одит на текущото състояние. Съпоставете десетте области с това, което реално имате. Разликата между двете е вашият работен списък. Как протича такава проверка и какво получавате накрая — в „Одит на киберсигурността: как протича и какво получавате“.

3. Приоритизирайте по риск. Първо мерките, които пазят от най-вероятните и най-скъпите сценарии — резервни копия, достъпи, многофакторна автентикация, обучение. После останалото.

4. Внедрете и документирайте едновременно. Всяка мярка се въвежда заедно със следата, която доказва, че работи: политика, отговорник, дата на последна проверка.

5. Направете го цикъл. Тестове на възстановяването, преглед на достъпите, опресняване на обученията — по календар, не при повод.

Най-честите грешки при подготовката

Първата е съответствието да се третира като еднократен проект — папка с политики, предадена и забравена. NIS2 изисква процес, който живее. Втората е обратната крайност: купуват се технологии, преди да е ясно кой риск покриват. Третата е да се забравят доставчиците — сигурността на веригата на доставки е пълноценно изискване, не бележка под линия. И четвъртата е отлагането: мерките от списъка отнемат месеци, а не дни, и започването „когато ни потърсят“ означава започване твърде късно. Ако предпочитате този път да се извърви с опитен партньор, услугата Киберсигурност покрива целия цикъл — от одита до внедряването и поддръжката на мерките.

Често задавани въпроси

Как да разбера дали фирмата ми попада в обхвата на NIS2?

Проверете две неща: дали дейността ви е в някой от секторите, изброени в закона, и дали компанията е от съответната категория по размер. При гранични случаи потърсете правна консултация — а дори да сте извън обхвата, клиентите ви по веригата на доставки може да ви поставят същите изисквания.

Какво става, ако не изпълним изискванията на NIS2?

Законът предвижда санкции и лична отговорност за ръководството. По-големият риск обаче остава реалният инцидент — мерките, които NIS2 изисква, са същите, които предпазват бизнеса от спиране и загуба на данни.

NIS2 отнася ли се и за малки фирми?

Пряко обхватът покрива основно средни и големи компании в определени сектори. Малките фирми обаче често са засегнати косвено — като доставчици на обхванати организации, които изискват от партньорите си доказуеми мерки за сигурност.

Не знаете откъде да подхванете NIS2?

Ще съпоставим изискванията с реалното ви състояние и ще излезете с ясен план. Отговаряме до 24 ч.

Свържете се →
Blog · Cybersecurity · 10 February 2026 · 10 min read

NIS2 compliance: the complete 2026 checklist

Who is in scope, which measures are required and how to turn demands into a plan.

NIS2 compliance means the organisation manages cyber risk systematically: it knows which systems are critical, applies specific technical and organisational measures, can report significant incidents, and holds management personally accountable for security. In Bulgaria the directive takes effect through the amendments to the Cybersecurity Act, in force since 17 February 2026. This checklist translates the requirements into practice — what you actually need to do, and in what order.

Who falls within the scope of NIS2?

The scope of NIS2 is considerably wider than the previous rules. It covers not only the classic critical infrastructure — energy, transport, banking, healthcare, water supply, digital infrastructure — but also sectors that until recently stayed on the sidelines: manufacturing of certain products, food production, courier and postal services, waste management, IT service providers. As a general rule, the scope takes in medium-sized and large companies from these sectors, divided into two categories — essential and important entities — with different intensity of supervision.

There is also a second, more insidious mechanism: the supply chain. Even if your company is not on the list, your customer may well be — and then the requirements arrive not from the regulator but from the contract. More and more in-scope organisations demand demonstrable security measures from their suppliers before signing or renewing an agreement. How exactly the directive has been transposed here is covered in detail in "NIS2 in Bulgaria: what the new Cybersecurity Act requires".

Which measures does NIS2 require — the ten areas

The core of NIS2 is a list of areas in which every in-scope organisation must have working, documented measures. Here they are as a checklist:

1. Risk analysis and management. You know which systems and data are critical, what threatens them and what you are doing about each threat.

2. Security policies. Written, current and known to your people — not a binder opened once during an audit.

3. Incident handling. A defined process: who detects, who assesses severity, who acts, who notifies.

4. Business continuity and recovery. Backups that are genuinely tested, and a plan for what comes back first after a failure. Why this is the measure that most often decides the outcome of an attack is explained in "Ransomware and backups: the plan that saves the business".

5. Supply chain security. You assess the risks at your key suppliers and write security requirements into the contracts.

6. Security in acquiring and maintaining systems. New systems are selected and implemented with security in mind, and existing ones are updated on time.

7. Assessing effectiveness. You periodically check whether the measures work — with audits, tests and reviews, not by gut feel.

8. Cyber hygiene and training. Employees recognise phishing and know what to report and to whom; management goes through training too.

9. Cryptography. Sensitive data is encrypted in transit and at rest, with clear rules on when and how.

10. Access control and authentication. Everyone has access only to what they need, rights are reviewed regularly, and critical systems are protected with multi-factor authentication. Where to start here — see "Access audit: who sees what in your systems".

Key point

NIS2 does not mandate a specific product or software brand. It mandates demonstrably managed risk — measures that exist, are applied and leave a trace. A document without practice is not compliance.

Incident reporting: what you must be able to do

NIS2 obliges in-scope organisations to notify the competent authority of significant incidents — within short, legally defined deadlines measured in hours, not weeks. That is achievable only if the process is prepared in advance: who decides whether an incident is significant, who files the notification, through which channel and with what information. If this is being invented during the attack, the deadlines are missed before the first decision is made. What a well-prepared response looks like hour by hour is described in "Cyber incident response plan: the first 72 hours".

What is management's responsibility?

One of the most substantial changes in NIS2 is that cybersecurity stops being "the IT department's problem". Management bodies approve the risk management measures, oversee their implementation and bear responsibility for failures — including personally. In practice this means three things: security becomes a standing item in management meetings, leadership goes through training so it understands what it is approving, and decisions on budget and priorities are made in an informed way rather than silently delegated downwards.

From requirements to a plan: five steps

1. Establish your status. Check whether you fall within the scope directly or will receive the requirements through your customers. This sets the pace and depth of everything else.

2. Audit the current state. Map the ten areas against what you actually have. The gap between the two is your work list. How such an assessment runs and what you receive at the end — in "Cybersecurity audit: how it works and what you get".

3. Prioritise by risk. First the measures that protect against the most likely and most expensive scenarios — backups, access rights, multi-factor authentication, training. Then the rest.

4. Implement and document at the same time. Every measure goes in together with the trace that proves it works: a policy, an owner, a date of last review.

5. Make it a cycle. Recovery tests, access reviews, refresher training — on a calendar, not on occasion.

The most common mistakes in the preparation

The first is treating compliance as a one-off project — a folder of policies, delivered and forgotten. NIS2 requires a process that lives. The second is the opposite extreme: buying technology before it is clear which risk it covers. The third is forgetting the suppliers — supply chain security is a full requirement, not a footnote. And the fourth is procrastination: the measures on the list take months, not days, and starting "when they come asking" means starting too late. If you would rather walk this path with an experienced partner, our cybersecurity service covers the full cycle — from the audit to implementing and maintaining the measures.

Frequently asked questions

How do I know whether my company falls within the scope of NIS2?

Check two things: whether your activity is in one of the sectors listed in the law, and whether the company is in the relevant size category. In borderline cases seek legal advice — and even if you are out of scope, your customers along the supply chain may set the same requirements for you.

What happens if we do not meet the NIS2 requirements?

The law provides for sanctions and personal liability for management. The bigger risk, however, remains an actual incident — the measures NIS2 requires are the same ones that protect the business from downtime and data loss.

Does NIS2 also apply to small companies?

Directly, the scope mostly covers medium-sized and large companies in certain sectors. Small companies, however, are often affected indirectly — as suppliers to in-scope organisations that demand demonstrable security measures from their partners.

Not sure where to start with NIS2?

We'll map the requirements against your actual state and you'll leave with a clear plan. We respond within 24 hours.

Get in touch →