Съответствие и регулации

GDPR, NIS2, ISO 27001, DORA — навигираме регулаторния лабиринт вместо вас.

Регулаторният пейзаж в Европа се промени драматично. NIS2 влезе в сила, GDPR глобите достигнаха €1.3 милиарда, а DORA трансформира финансовия сектор. Ако не сте в съответствие — рискувате не само глоби, но и загуба на клиенти и партньори.

NIS2 — Новата реалност за киберсигурност в ЕС

Директивата NIS2 (Network and Information Security Directive 2) е най-значимата промяна в европейската киберсигурност от десетилетие. От 18 октомври 2024 г. тя е задължителна за всички държави-членки на ЕС, включително България.

Кой е засегнат?

NIS2 разширява обхвата драстично — от няколко стотин до хиляди организации в България:

Основни субекти (Essential Entities)

Енергетика, транспорт, банки, здравеопазване, водоснабдяване, дигитална инфраструктура, ИКТ услуги (B2B), публична администрация, космос. Глоби до €10 милиона или 2% от оборота.

Важни субекти (Important Entities)

Пощенски услуги, управление на отпадъци, химическа промишленост, храни, производство (медицински изделия, компютри, електроника, машини, автомобили), дигитални услуги (онлайн пазари, търсачки, социални мрежи), научни изследвания. Глоби до €7 милиона или 1.4% от оборота.

Критерий: Компании с над 50 служители или оборот над €10 милиона в засегнатите сектори попадат автоматично под NIS2. Но дори по-малки компании може да бъдат включени, ако са критични за веригата на доставки.

Какво изисква NIS2?

24чРанно уведомяване при инцидент

72чПълен доклад за инцидента

30 дниФинален доклад и анализ

∞Постоянен мониторинг и одити

Основните изисквания включват:

Управление на риска — анализ на рисковете, политики и процедури за киберсигурност
Обработка на инциденти — план за реагиране, екип за инциденти, уведомяване в 24/72 часа
Непрекъсваемост на бизнеса — backup, DR планове, тестване
Сигурност на веригата за доставки — оценка на доставчиците, договорни клаузи
Управление на уязвимостите — редовни тестове, patch management
Криптография и криптиране — политики за използване на криптография
Управление на достъпа — MFA, принцип на минимални привилегии
Обучение — regular security awareness за всички служители
Отговорност на ръководството — мениджмънтът носи лична отговорност

⚠️ Лична отговорност: NIS2 въвежда лична отговорност за C-level мениджмънта. CEO, CTO и Board членовете могат да бъдат лично глобени или временно отстранени от управленски позиции при системно неспазване.

GDPR — Все още най-строгият

GDPR (Общ регламент за защита на данните) остава фундаментът на защитата на данните в ЕС. Ключови аспекти, които бизнесите често пропускат:

DPIA (Data Protection Impact Assessment) — задължителен при обработка на чувствителни данни на мащаб
DPO (Data Protection Officer) — задължителен за публични органи и компании, обработващи данни на мащаб
Право на изтриване — трябва да можете да изтриете данни на клиент при поискване в 30 дни
Data Breach уведомяване — 72 часа до КЗЛД (българския регулатор)
Privacy by Design — защитата на данните трябва да е вградена във всеки нов продукт или процес
Transfer извън ЕС — Standard Contractual Clauses или Adequacy Decision за трети страни

€1.3BОбщо GDPR глоби до 2026

€1.2BНай-голяма единична глоба (Meta)

72чСрок за уведомяване при breach

4%Макс. глоба от годишен оборот

DORA — За финансовия сектор

DORA (Digital Operational Resilience Act) влезе в сила на 17 януари 2025 г. и засяга:

Банки и кредитни институции
Застрахователни компании
Инвестиционни посредници
Платежни институции
Доставчици на крипто услуги
ИКТ доставчици на финансови институции (включително cloud, SaaS)

DORA изисква:

ИКТ Risk Management Framework — документирана рамка за управление на ИКТ рискове
Incident Reporting — класификация и докладване на ИКТ инциденти
Digital Operational Resilience Testing — penetration testing, threat-led testing (TLPT)
Third-party Risk Management — регистър и оценка на всички ИКТ доставчици
Information Sharing — споделяне на threat intelligence между институции

ISO 27001 — Златният стандарт

ISO 27001 не е регулация, а международен стандарт за управление на информационната сигурност (ISMS). Но все повече клиенти и партньори го изискват като предусловие за работа.

Нашият подход към ISO 27001 сертификация:

Gap Analysis (2-4 седмици) — оценяваме текущото ви състояние спрямо ISO 27001:2022
ISMS Design (4-8 седмици) — проектираме системата за управление
Documentation (4-6 седмици) — изготвяме всички необходими политики и процедури
Implementation (8-12 седмици) — внедряваме контролите
Internal Audit (2 седмици) — вътрешен одит преди сертификация
Certification Audit — съпровождаме ви през Stage 1 и Stage 2 одитите

Безплатна NIS2 оценка

Не сте сигурни дали NIS2 ви засяга? Използвайте нашия безплатен NIS2 Quick Assessment по-долу, за да разберете:

NIS2 Quick Assessment

Отговорете на 5 въпроса и разберете дали вашата организация попада под NIS2.

1. В кой сектор оперира вашата организация?

Как работим?

1Gap Analysis — оценка на текущото състояние

2Roadmap — план с приоритети и срокове

3Implementation — политики, процедури, контроли

4Certification — съпровождане до успешен одит

Не знаете от къде да започнете?

Безплатна консултация — ще оценим вашата ситуация и ще ви дадем конкретен план за действие.

Готови ли сте да защитите бизнеса си?

Свържете се с нас за безплатна консултация и индивидуална оценка на вашите нужди.

Безплатна консултация Обадете се