Блог · Киберсигурност · 16 февруари 2026 · 4 мин четене

План за реакция при киберинцидент: първите 72 часа

Кой какво прави, кого уведомявате и защо планът се пише преди инцидента, не по време.

Планът за реакция при киберинцидент е кратък документ, който казва предварително кой ръководи, какво се прави и кого уведомявате, когато нещо се обърка. В първите 72 часа целта е проста: ограничавате щетата, запазвате данните и следите, уведомявате правилните хора и започвате възстановяване. Компаниите, които се справят спокойно, не са тези с най-скъпите инструменти, а тези, които са написали плана, докато всичко е било наред. Разликата между един лош ден и седмици престой често е именно в тези първи, добре подготвени часове.

Защо планът се пише преди инцидента, не по време?

По време на инцидент никой не разсъждава ясно. Телефоните звънят, системите не работят, всеки пита „кой отговаря за това“. Ако отговорите се измислят в този момент, губите най-ценните часове в паника и импровизация. Предварително написаният план превръща хаоса в списък от стъпки: кой взема решенията, кой говори с клиентите, кой със законовите органи, откъде се възстановяват данните.

Планът не е дебел документ. За среден бизнес една-две страници стигат — важното е да са ясни и достъпни дори когато основните системи са недостъпни. Разпечатайте го и го дайте на ключовите хора, защото планът в имейл кутия, до която нямате достъп по време на атака, е безполезен.

И още нещо, което повечето фирми пропускат: планът трябва да се тества, а не само да се напише. Веднъж годишно съберете ключовите хора и изиграйте измислен сценарий на маса — „открихме криптовирус в петък вечер, какво прави всеки“. Половин час такова упражнение показва къде контактите са остарели, кой не знае ролята си и къде резервните копия всъщност не се възстановяват толкова лесно, колкото сте мислили. По-добре да го откриете на масата, отколкото в реалната криза.

Кой какво прави в първите 72 часа?

Час 0–2 — ограничаване. Изолирайте засегнатите системи от мрежата, за да спрете разпространението, но без да унищожавате следи. Определеният ръководител на реакцията поема координацията.

Час 2–24 — оценка. Какво точно е засегнато, кои данни, откъде е влязъл атакуващият. Тук помага да знаете предварително кой има достъп до какво — затова Одит на достъпите: кой какво вижда във вашите системи е основа, а не лукс.

Час 24–72 — уведомяване и възстановяване. Уведомявате когото трябва и започвате да връщате работата от чисти резервни копия. Ако инцидентът е криптовирус, качеството на архивите ви решава всичко — разгледали сме го в Ransomware и резервни копия: планът, който спасява бизнеса.

Ключово

Не изключвайте панически всичко. Изолирайте, документирайте, възстановявайте от проверени копия. Всяко действие през първите часове трябва да е предвидено в плана, а не измислено в движение.

Кого уведомявате и какво документирате?

Списъкът със засегнати страни зависи от инцидента, но обикновено включва ръководството, засегнатите клиенти или партньори, а при изтичане на лични данни — и надзорния орган в предвидените от закона срокове. За фирмите в обхвата на новите изисквания задълженията за докладване стават по-строги — измененията в Закона за киберсигурност са в сила от 17 февруари 2026 г., а какво означава това на практика описваме в NIS2 съответствие: пълният checklist за 2026.

Документирайте всичко от първата минута: кога сте забелязали, какво сте видели, какви действия сте предприели и кога. Този дневник е нужен и за разследването, и за уведомяванията, и за да не повторите същата грешка. Ако искате някой да напише и тества плана заедно с вас, това е част от услугата Киберсигурност.

Често задавани въпроси

Трябва ли малка фирма изобщо да има план за реакция?

Да. Планът не зависи от размера, а от факта, че разчитате на дигитални системи и данни. За малка фирма планът е кратък — една-две страници с роли, контакти и стъпки — но именно тя най-трудно понася дни престой без него.

Първо да изключим ли заразения компютър при инцидент?

Изолирайте го от мрежата, но не бързайте да го изключвате напълно — изключването може да унищожи следи, полезни за разследването. Планът трябва предварително да казва кой взема това решение и как се запазват доказателствата.

Имате ли план, преди да ви потрябва?

Безплатна консултация — ще напишем и тестваме плана за реакция заедно с екипа ви.

Свържете се →
Blog · Cybersecurity · 16 February 2026 · 4 min read

Cyber incident response plan: the first 72 hours

Who does what, whom you notify and why the plan is written before the incident.

A cyber incident response plan is a short document that says in advance who leads, what is done and whom you notify when something goes wrong. In the first 72 hours the goal is simple: you contain the damage, preserve the data and evidence, notify the right people and begin recovery. The companies that cope calmly are not the ones with the most expensive tools, but the ones that wrote the plan while everything was still fine. The difference between one bad day and weeks of downtime often lies precisely in those first, well-prepared hours.

Why is the plan written before the incident, not during it?

During an incident nobody thinks clearly. The phones ring, systems are down, everyone asks "who is responsible for this". If the answers are invented in that moment, you lose the most valuable hours to panic and improvisation. A plan written in advance turns the chaos into a list of steps: who makes the decisions, who talks to customers, who talks to the authorities, where the data is recovered from.

The plan is not a thick document. For a mid-market business one or two pages are enough — what matters is that they are clear and available even when the main systems are down. Print it and give it to the key people, because a plan sitting in an inbox you cannot reach during an attack is useless.

And one more thing most companies skip: the plan has to be tested, not just written. Once a year gather the key people and play out an imagined scenario around a table — "we found ransomware on Friday evening, what does each person do". Half an hour of such an exercise reveals where the contacts are out of date, who does not know their role, and where the backups do not actually restore as easily as you thought. Better to discover it at the table than in the real crisis.

Who does what in the first 72 hours?

Hours 0–2 — containment. Isolate the affected systems from the network to stop the spread, but without destroying evidence. The designated response lead takes over coordination.

Hours 2–24 — assessment. What exactly is affected, which data, where the attacker got in. Here it helps to know in advance who has access to what — which is why Access audit: who sees what in your systems is a foundation, not a luxury.

Hours 24–72 — notification and recovery. You notify the right parties and begin restoring work from clean backups. If the incident is ransomware, the quality of your backups decides everything — we look at it in Ransomware and backups: the plan that saves the business.

Key point

Do not panic-shut-down everything. Isolate, document, recover from verified backups. Every action in the first hours should be foreseen in the plan, not improvised on the spot.

Whom do you notify and what do you document?

The list of affected parties depends on the incident, but usually includes management, the affected customers or partners, and — where personal data has leaked — the supervisory authority within the deadlines set by law. For companies within the scope of the new requirements, reporting obligations become stricter — the amendments to the Cybersecurity Act are in force from 17 February 2026, and what that means in practice is described in NIS2 compliance: the complete 2026 checklist.

Document everything from the first minute: when you noticed, what you saw, what actions you took and when. This log is needed for the investigation, for the notifications, and so you do not repeat the same mistake. If you would like someone to write and test the plan with you, that is part of our cybersecurity service.

Frequently asked questions

Does a small company even need a response plan?

Yes. The plan does not depend on size, but on the fact that you rely on digital systems and data. For a small company the plan is short — one or two pages of roles, contacts and steps — yet it is precisely the small company that copes worst with days of downtime without one.

Should we shut down the infected computer first during an incident?

Isolate it from the network, but do not rush to power it off completely — shutting down can destroy traces useful for the investigation. The plan should say in advance who makes that decision and how the evidence is preserved.

Do you have a plan before you need one?

A free consultation — we'll write and test the response plan together with your team.

Get in touch →