Какво е NIS 2 и за кои организации е задължително?

От 13 февруари 2026 г. изискванията за киберсигурност в ЕС са задължителни за стотици организации у нас. Времето за действие е сега.

С обнародването на Закона за изменение и допълнение на Закона за киберсигурност в Държавен вестник, бр. 17 от 13 февруари 2026 г., България официално транспонира европейската Директива (ЕС) 2022/2555 – NIS 2 (Директива за мрежова и информационна сигурност). Това е най-мащабната реформа в областта на киберсигурността в историята на Европейския съюз и поставя нови, значително по-строги изисквания пред стотици публични и частни организации в страната.

Какво е Директивата NIS 2?
NIS 2 е обновена европейска правна рамка, приета от ЕС през 2022 г., в сила от януари 2023 г. Тя надгражда предходната директива NIS 1 и въвежда единни стандарти за киберсигурност в 18 критични сектора на икономиката. Целта е да се намалят слабите звена в защитата на дигиталната инфраструктура на целия Европейски съюз.

Защо NIS 2 е важна за България?

Директивата NIS 2 не е просто административно задължение – тя е фундаментална промяна в начина, по който държавата и бизнесът трябва да се отнасят към киберзаплахите. Новата рамка разширява кръга на задължените организации, въвежда по-строги изисквания за управление на риска, по-кратки срокове за докладване на инциденти и значително по-сериозни санкции при несъответствие.

Директивата се прилага за средни и големи предприятия (с над 50 служители или с годишен оборот над 10 млн. евро) в засегнатите сектори, но нейните изисквания вероятно ще достигнат и до по-малките компании – доставчици и партньори на регулираните организации – чрез договорни клаузи и оценки на веригата на доставки.

Кои сектори попадат в обхвата?

Директивата разграничава два вида субекти – съществени (висока критичност) и важни (критични сектори):

I. Сектори с висока критичност

• Енергетика – електроенергия, топлофикация, нефт, природен газ, водород
• Транспорт – въздушен, железопътен, воден и шосеен транспорт
• Банково дело – кредитни институции
• Инфраструктури на финансовия пазар – места за търговия, централни контрагенти
• Здравеопазване – болници, фармацевтични производители, лаборатории
• Питейна вода – доставчици и разпределители (ВиК дружества)
• Отпадъчни води – събиране, отвеждане и пречистване
• Цифрова инфраструктура – Cloud, CDN, DNS, центрове за данни, телекоми, удостоверителни услуги
• Управление на ИКТ услуги (B2B) – доставчици на управлявани услуги (MSP/MSSP)
• Публична администрация – централни и регионални органи
• Космос – оператори на наземна инфраструктура

II. Други критични сектори

• Пощенски и куриерски услуги
• Управление на отпадъци
• Производство и дистрибуция на храни (на едро)
• Производство – медицински изделия, електроника, машини, автомобили
• Химическа промишленост
• Цифрови доставчици – онлайн платформи, търсачки, социални мрежи
• Научни изследвания

Основни задължения за организациите

Законът задава минимален, но взискателен набор от мерки, които всяка засегната организация трябва да прилага:

1. Управление на киберриска – систематично идентифициране, оценка и управление на заплахите, основано на анализ на риска.
2. Бизнес непрекъснатост – планове за резервни копия, аварийно възстановяване и управление на кризи.
3. Сигурност на веригата на доставки – оценка на доставчиците и партньорите по отношение на киберсигурността.
4. Контрол на достъпа и криптография – многофакторна автентикация, криптиране на данни и строг контрол на привилегированите акаунти.
5. Обучение на персонала – редовни обучения за повишаване на осведомеността в областта на киберсигурността.
6. Докладване на инциденти – ранно предупреждение до 24 ч., междинна оценка до 72 ч. и окончателен доклад до 1 месец.

Ключово нововъведение е въвеждането на лична отговорност на ръководството. Директорите и висшите мениджъри могат да бъдат временно отстранявани от длъжност при системно пренебрегване на изискванията – нещо, което не е съществувало в предишната регулаторна рамка.

Санкции – защо бездействието е скъпо

⚠️ Гратисен период до 1 юли 2026 г.
До 1 юли 2026 г. глобите за първоначални нарушения са в намален размер. След тази дата санкциите достигат до 10 милиона евро или до 2% от общия световен годишен оборот за важните субекти, и до 10% от оборота за съществените. Целта на законодателя е бизнесът да инвестира средствата си в изграждане на защити, а не в плащане на глоби.

NIS 2 и ISO 27001 – комбинираният подход

Директивата NIS 2 може да се прилага самостоятелно, но препоръчваният подход е комбинацията й с международния стандарт ISO 27001. Законът изисква внедрената рамка периодично да се проверява от независими, оторизирани одитори – изисквания, с които ISO 27001 е напълно съвместим. Целевите одити се основават на оценки на риска и се извършват от независим орган (чл. 27з от закона).

Внедряването на ISO 27001 успоредно с NIS 2 не само осигурява съответствие с директивата, но и изгражда доверие сред клиенти, партньори и регулатори.

📄 Пълният текст на Директивата NIS 2, включена в раздела „Стандарти за сигурност“ на нашия сайт, можете да намерите тук →