NIS2 Директива — Пълно ръководство за български бизнес (2026)

Administrator 39 1 мин четене
NIS2 Директива — Пълно ръководство за български бизнес (2026)

От 18 октомври 2024 г. директивата NIS2 е факт в цяла Европа. За хиляди български компании тя носи нови задължения, строги срокове и глоби до €10 милиона. Но какво точно означава NIS2 за вашия бизнес? Кой е засегнат? Какво трябва да направите? Това ръководство отговаря на всичко — конкретно и практично.

Какво е NIS2?

NIS2 (Network and Information Security Directive 2) е европейска директива, която заменя оригиналната NIS директива от 2016 г. Тя драматично разширява обхвата на организациите, които трябва да спазват стандарти за киберсигурност, и въвежда значително по-строги санкции.

Целта е проста: да се повиши нивото на киберсигурност в целия ЕС, защото кибер атаките засягат всички — от болници и електрически мрежи до малки производствени компании във веригата на доставки.

NIS2 директива на Европейския съюз

Кой е засегнат в България?

Ключовата промяна: NIS2 засяга значително повече организации от оригиналната NIS. В България се очаква да обхване хиляди компании в 18 сектора.

Основни субекти (Essential Entities)

Организации в критични сектори с над 250 служители или оборот над €50M:

Енергетика

Електричество, газ, нефт, топлинна енергия, водород. Включва производители, дистрибутори и оператори.

Транспорт

Авиация, железници, водни пътища, пътен транспорт. Включва оператори, летища, пристанища.

Банки и финанси

Кредитни институции, търговски площадки, централни контрагенти.

Здравеопазване

Болници, лаборатории, производители на медицински изделия, фармацевтични компании.

Водоснабдяване

Доставка и пречистване на питейна вода, управление на отпадъчни води.

Дигитална инфраструктура

Облачни услуги, дата центрове, CDN, DNS, TLD регистри, доверителни услуги.

Публична администрация

Централни правителствени органи (без съдебна система и парламент).

Космос

Оператори на наземна инфраструктура за космически услуги.

Важни субекти (Important Entities)

Организации в допълнителни сектори с над 50 служители или оборот над €10M:

Пощенски услуги

Доставчици на пощенски и куриерски услуги.

Управление на отпадъци

Събиране, транспорт и обработка на отпадъци.

Химическа промишленост

Производство, дистрибуция и складиране на химикали.

Храни

Производство, преработка и дистрибуция на храни (включително търговски вериги).

Производство

Медицински изделия, компютри, електроника, оптика, машини, автомобили, ремаркета.

Дигитални услуги

Онлайн пазари, търсачки, социални мрежи.

Научни изследвания

Изследователски организации.

Внимание: Дори ако вашата компания е по-малка от 50 души, може да попаднете под NIS2, ако сте критичен доставчик на засегната организация. Например — IT компания, която поддържа системите на болница или банка.

18засегнати сектора
160 000+засегнати организации в ЕС
€10Mмакс. глоба (Essential)
€7Mмакс. глоба (Important)

Какво изисква NIS2 конкретно?

NIS2 изисквания за бизнес в България

1. Управление на риска (Член 21)

Трябва да имате документирана рамка за управление на рисковете от киберсигурност, която включва:

  • Анализ на рисковете и политики за информационна сигурност
  • Обработка на инциденти — превенция, детекция и реакция
  • Непрекъсваемост на дейността — backup, disaster recovery, кризисно управление
  • Сигурност на веригата за доставки — оценка на рисковете от доставчици
  • Придобиване, разработка и поддръжка на мрежови и информационни системи
  • Политики и процедури за оценка на ефективността на мерките
  • Основни практики за кибер хигиена и обучение
  • Политики за използване на криптография и криптиране
  • Управление на човешките ресурси, достъп и активи
  • MFA (Multi-Factor Authentication) и защитени комуникации

2. Докладване на инциденти (Член 23)

При значителен киберинцидент трябва да уведомите CERT Bulgaria:

24 часаРанно предупреждение — уведомете CERT, че подозирате инцидент
72 часаУведомление — пълна оценка: severity, impact, IoC (Indicators of Compromise)
1 месецФинален доклад — root cause анализ, предприети мерки, трансгранично въздействие

Какво е "значителен инцидент"? Инцидент, който причинява или може да причини сериозно оперативно нарушение на услугите или финансови загуби. Или засяга или може да засегне физически или юридически лица чрез значителни щети.

3. Отговорност на ръководството (Член 20)

Това е революционната промяна в NIS2:

  • Мениджмънтът одобрява мерките за управление на риска от киберсигурност
  • Мениджмънтът носи отговорност за спазването им
  • Мениджмънтът преминава обучение по киберсигурност
  • При системно неспазване — лична отговорност на CEO, CTO, Board members
  • Възможни санкции: временно отстраняване от управленски позиции

4. Сигурност на веригата за доставки (Член 21(2)(d))

Трябва да управлявате рисковете от вашите доставчици:

  • Оценка на сигурността на всеки критичен доставчик
  • Договорни клаузи за киберсигурност
  • Мониторинг на доставчиците
  • План за реагиране при компрометиране на доставчик

Глоби и санкции

Essential Entities

До €10 000 000 или 2% от глобалния годишен оборот (което е по-голямо). При оборот от €500M, глобата може да е €10M.

Important Entities

До €7 000 000 или 1.4% от глобалния годишен оборот (което е по-голямо).

Лична отговорност

Компетентните органи могат да отстранят временно мениджъри от управленски позиции. Мениджмънтът може да бъде лично глобен.

NIS2 в България — Текущо състояние

Към април 2026 г. България е в процес на транспониране на NIS2 в националното законодателство. Ключови моменти:

  • CERT Bulgaria (към ДАЕУ) е определен като национален CSIRT
  • Работна група разработва националния закон, базиран на NIS2
  • Очаква се законът да влезе в сила през 2026 г.
  • Организациите трябва да започнат подготовка сега, не да чакат закона

Не чакайте! Дори ако националният закон все още не е приет, NIS2 директивата вече е в сила на ниво ЕС. Подготовката отнема 6-18 месеца в зависимост от текущото ви ниво на зрялост. Компании, които чакат, рискуват да не са готови навреме.

Как да се подготвите — 10 конкретни стъпки

  1. Определете дали попадате под NIS2 — използвайте нашия безплатен NIS2 Assessment
  2. Направете Gap Analysis — оценете текущото ниво на киберсигурност спрямо изискванията
  3. Назначете отговорно лице — CISO или vCISO, който да ръководи процеса
  4. Документирайте политики — Information Security Policy, Incident Response Plan, BCP/DRP
  5. Внедрете технически мерки — MFA, endpoint protection, SIEM, backup
  6. Обучете мениджмънта — NIS2 изисква мениджмънтът да премине обучение
  7. Обучете всички служители — Security Awareness програма с фишинг симулации
  8. Оценете доставчиците — направете security assessment на критичните доставчици
  9. Подгответе Incident Response план — с 24/72ч процедура за уведомяване
  10. Провеждайте редовни одитиpenetration tests и vulnerability assessments

Как Defend.bg може да помогне?

Ние предлагаме цялостна NIS2 подготовка — от първоначалния assessment до пълно съответствие:

Gap AnalysisОценка на текущото ниво и roadmap за съответствие
ДокументацияПолитики, процедури, шаблони — готови за одит
ВнедряванеТехнически мерки, обучения, incident response
Мониторинг24/7 SOC, penetration testing, continuous compliance

Безплатни инструменти

Започнете веднага с нашите безплатни ресурси:

  • NIS2 Quick Assessment — 5 въпроса за да разберете дали попадате под NIS2
  • Security Scanner — безплатна проверка на вашия домейн за основни уязвимости
  • SPF Generator — конфигурирайте email автентикацията си
  • DMARC Generator — защитете домейна си от spoofing

Не знаете от къде да започнете с NIS2?

Безплатна NIS2 консултация — ще оценим вашата ситуация и ще ви дадем конкретен план за действие. Без задължения.

Свързани услуги

Съответствие и регулации Тест за проникване Финансови анализи и BI
Защитен сайт

Безплатна консултация

Изберете тема и ни кажете повече за вашите нужди. Ще се свържем до 24 часа.

Данните ви са защитени и няма да бъдат споделяни с трети страни.