На 5 февруари 2026 г. Народното събрание прие на второ четене окончателните изменения в Закона за киберсигурност, като напълно приведе националното законодателство в съответствие с повишените европейски изисквания за киберсигурност и Директивата за мрежова и информационна сигурност (NIS 2/МИС 2).  

Какво означава това за бизнесът в България? 

  • Основните промени в закона:

    ✓ По-широк кръг регулирани субекти и сектори; 

    ✓ Лична отговорност на ръководствата за прилагането и надзора на мерките за киберсигурност; 

    ✓ Значителни санкции, достигащи до 10 млн. евро или 2% от глобалния годишен оборот; 

    ✓ Докладване на инциденти в рамките на 24 часа

    Министерството на електронното управление има право да ограничава използването на определени приложения или уебсайтове на служебни устройства (напр. потенциална забрана на конкретни социални мрежи за държавни служители); 

    Възможност за ограничаване на високорискови технологии, произхождащи от трети държави, въз основа на координирани оценки на риска на ниво ЕС. 

С тези промени стандартите за киберсигурност в България най-после се приравняват с тези в останалите страни членки на ЕС, като същевременно отпада рискът от санкции, произтичащи от забавянето при транспонирането на Директивата NIS2.

Бъдете в съответствие с NIS2! DCD-IT предоставя професионални услуги, с които да покриете изискванията на закона.  

Свържете се с нас

Какво означава всичко това за организациите? Нека разгледаме промените по-подробно. 

Нови субекти, обхванати в Закона за киберсигурност

  • Разширява се кръгът от организации, към които са насочени изискванията на закона. Обхващат се:

    • Публична администрация, частни предприятия, доставчици на квалифицирани удостоверителни услуги, регистри на имена на домейни, образователни институции, извършващи критично важни научноизследователски дейности, и органите на съдебната власт; 
    • Съгласно заложените критерии субектите се разделят на съществени и важни, като за всяка категория се предвиждат различни нива на изисквания, контрол и отговорност. 

  • Според големината на организациите се включват: 

    • Компании с над 50 служители или с годишен оборот над 10 млн. евро (средни и големи предприятия в обхванатите сектори);  
    • ВАЖНО! Всички органи на държавната и общинската администрация независимо от големината на организацията; 
    • Всички доставчици наквалифицирани удостоверителни услуги, DNS услуги, публични електронни мрежи и регистри на имена на домейни (микро, малки, средни и големи предприятия в тези сектори). 

Киберсигурността вече не се разглежда единствено като задача на ИТ отделите, а като стратегически въпрос за бизнеса: 

  • Управителните органи на предприятията в обхвата ще отговарят пряко за управлението на киберсигурността (т.е. ще извършват преглед, разработване и одобрение на вътрешни процедури, процеси и мерки за управление на риска, надзор над изпълнението им и осигуряване на постоянно съответствие); 
  • Съгласно закона управителният орган може да бъде подведен под отговорност за неизпълнение на тези задължения; 
  • Ръководството и персонала са задължени да преминат обучения за киберсигурност
  • Компетентните национални органи ще имат право да налагат принудителни административни мерки и санкцииИмуществените санкции могат да достигнат значителни размери от 10 000 000 евро или 2% – която от сумите е по-голяма, – от общия световен годишен оборот за предходната финансова година (През първите месеци след влизането на закона в сила, глобите ще бъдат по-малки  за по-плавен преход). 

Свържете се с нас за оценка на съответствието и обучение по киберсигурност.  

Бъдете в синхрон с критериите!  

Регулираните сектори стават 18 

С измененията в закона обхватът на регулираните сектори се разширява от 8 на 18. Целта е по-голяма устойчивост на критичните вериги за доставки и икономически значимите сектори.  

Сектори с висока степен на критичност 
Работим активно с трима клиенти в енергийния сектор, които се доверяват на нашите IT решения и услуги.
40 транспортни фирми разчитат на нас за широк набор от IT решения и поддръжка.
Ние сме дългогодишен партньор на 30 клиники, лаборатории и здравни центрове.
Предоставяме IT решения и услуги на няколко общински и държавни административни структури.
Hover text 4

Други критични сектори 

Над 50 предприятия са избрали DCD-IT за свой надежден партньор в света на софтуерните услуги.

Към критично важни отрасли като енергетика, транспорт и здравеопазване, се добавят други съществени сектори като публична администрация и стратегически сектори в производството. Вие сте от тях? Доверете ни се! 

DCD-IT има десетки клиенти в тези сектори, а опитът ни позволява да вникнем във всеки специфичен случай и да приложим индивидуален подход.  

Ние можем да извършим одит за съответствие с NIS2, да издадем доклад с препоръки по звена и да осъществим проекти по имплементацията им спрямо препоръките. Разчитайте на нас! 

Направете тест за NIS2 съответствие  

Какви услуги по NIS2 предлагаме?

Ние от DCD-IT ще ви помогнем да бъдете в съответствие с МИС 2/NIS2 и новите законови промени. Нашите услуги в помощ на засегнатите организации: 

  • img link

    Управление на ИТ активи и инфраструктура  

  • img link

    Управление на услуги и бизнес критичност  

  • img link

    Киберзащита и технически контрол  

  • img link

    Управление на достъпа и идентичността (IAM)  

  • img link

    Управление на доставчици и външни зависимости  

  • img link

    Наблюдение и мониторинг  

  • img link

    Резервиране, архивиране и възстановяване  

  • img link

    Управление на инциденти и непрекъсваемост  

  • img link

    Политики, управление и съответствие  

  • img link

    Обучения по киберсигурност и киберхигиена  

1 10

Попадате в някой от регулираните сектори? Ние ще ви съдействаме! Разполагаме с точните решения за вас!

Бъдете подготвени, запазете среща!

Какви са новите задължения към организациите? Директива NIS2 изисква подход към киберсигурността, основан на риска, което означава систематично идентифициране, оценка и управление на заплахите.  

Предвидени задължения към организациите в обхвата на закона: 

  • политики за анализ на риска и сигурност на информационните системи; 
  • реакция при инциденти; 
  • непрекъснатост на стопанската дейност, напр. управление на кризи и управление на съхраняването на резервни копия на данните и възстановяване след бедствия; 
  • сигурност на веригата за доставка, включително свързани със сигурността аспекти на взаимовръзките между всеки субект и неговите преки снабдители и доставчици на услуги; 
  • сигурност при придобиването на мрежови и информационни системи, разработване и поддръжка, включително предприемане на действия при уязвимости и оповестяването им; 
  • политики и процедури за оценяване на ефективността на мерките за управление на риска в областта на киберсигурността и редовното тестване на защитите; 
  • основни киберхигиенни практики и обучение по киберсигурност; 
  • политики и процедури относно използването на криптография и криптиране; 
  • сигурност на човешките ресурси, политики за контрол на достъпа и управление на активи; 
  • използването на многофакторни решения за удостоверяване на автентичността или непрекъснато удостоверяване на автентичността, защитени гласови, видео и текстови съобщения и защитени системи за спешна комуникация в рамките на субекта; 
  • управление на измененията; 
  • мерки за управление на риска в областта на киберсигурността и задължения за докладване. 

С DCD-IT ще покриете изискванията на закона! 

Ние предлагаме широк набор от персонализирани решения и услуги за киберзащита и информационна сигурност, отговарящи на предвидените в закона задължения! Оставете нашите професионалисти да се погрижат за това, а вие се съсредоточете върху наистина важното за вашия бизнес.   

Направете тест за съответствие

  • Съкратени срокове за докладване на инциденти 

    • Съществените и важните субекти са задължени да уведомяват Секторния екип за реагиране при инциденти с компютърната сигурност (СЕРИКС) за всеки значителен инцидент до 24 часа след установяването му
    • До 72 часа се подава актуализирана информация с първоначална оценка за тежестта и въздействието, както и технически детайли за инцидента; 
    • Срокът за актуализация за доставчиците на удостоверителни услуги е 24 часа
    • Окончателен доклад се подава до един месец след актуализираното уведомление. 

    Новите срокове акцентират на ранното уведомяване и координираната реакция и така превръщат киберсигурността в основно оперативно задължение на бизнеса! 

  • Изисквания за конкретни технологии или ограничаването им! 

    • Министерският съвет, по предложение на Съвета по киберсигурността, може да приема постановления, с които да се въвеждат задължителни изисквания към съществените и важни субекти за използване на конкретни ИКТ продукти, услуги и процедури, сертифицирани по европейските схеми за киберсигурност и доказано подходящи в оперативно и икономическо отношение. 
    • Въз основа на координирана на равнище ЕС оценка на риска може да се стигне и до ограничаване на използването на конкретни технологии или критични вериги за доставка на ИКТ продукти и услуги с произход от страни извън ЕС
    • Преходните срокове предвиждат субектите да преустановят използването на технология, ограничена с постановление на Министерския съвет, в тригодишен срок. При наличие на висок риск за националната сигурност може да бъде определен и по-кратък срок

Търсите сигурни и надеждни ИКТ продукти и услуги? Ние ще ви консултираме за най-подходящото решение за вас!  

 Запазете среща!  

Какво следва: Изготвяне и поддържане на регистър на задължените субекти

След влизането в сила на изменения Закон за киберсигурността компетентните национални органи трябва да: 

  • Идентифицират дружествата, които попадат в категориите „съществени“ и „важни“ субекти, което включва събиране и анализ на информация за дружествата в обхванатите сектори, оценка на тяхната роля за критични обществени и икономически функции и преценка на размера и оперативния им мащаб; 
  • След определянето на статута субектите трябва да бъдат уведомени, а данните им да бъдат вписани в централен регистър, който ще служи за надзор, планиране на проверки и отчетност по NIS2

Да обобщим

С приетите промени България окончателно привежда Закона за киберсигурност в синхрон с изискванията на NIS2 и затяга правилата за защита на критичните сектори с най-строгите регулации в областта до момента.

Новата рамка е едновременно щит и изпитание: тя повишава устойчивостта срещу нарастващия спектър от киберзаплахи, но поставя бизнеса и администрацията пред необходимостта от сериозни инвестиции, компетентни екипи и последователни усилия. Успехът ѝ ще зависи от това доколко институции и организации ще успеят да превърнат регулацията в реална култура на киберустойчивост.

Знаем, че постигането на съответствие със Закона за киберсигурност може да бъде предизвикателство. Затова разчитайте на нашите експерти. 

Нека бъдем ваш доверен партньор!