Киберсигурността вече е пряка отговорност на ръководството. От 13 февруари 2026 г. в България е в сила изменението на Закона за киберсигурност, с което страната въведе правилата на европейската директива NIS2. Новият режим изисква управителните органи на засегнатите компании да одобряват мерките за киберриск, да следят прилагането им и да носят отговорност при нарушения.

NIS2 премества темата от IT отделите към бордовете, изпълнителните директори и законните представители.

Директивата разширява обхвата на правилата в 18 критични сектора. Фокусът се измества от техническата защита към управленската отчетност. За българския бизнес това означава нов натиск върху ръководствата, включително в компании извън традиционната критична инфраструктура.

Какво променя NIS2

NIS2 е европейска рамка за по-високо общо ниво на киберсигурност. Тя замени режима NIS1 и изисква по-строги правила за управление на риска, докладване на инциденти, контрол и санкции.

Срокът за национално въвеждане в ЕС изтече на 17 октомври 2024 г.. Европейската комисия изпрати мотивирано становище на България на 7 май 2025 г. заради ненотифицирано пълно транспониране. Българският парламент прие промените на 5 февруари 2026 г., а законът беше обнародван на 13 февруари 2026 г., според Държавен вестник, Европейската комисия и БТА.

Защо натискът е върху ръководството

Законът посочва, че управителните органи на съществените и важните субекти одобряват мерките за управление на риска в областта на киберсигурността и следят за прилагането им. Членовете на тези органи трябва да преминават обучение на всеки две години. Те трябва да организират обучение и за служителите.

Бордът вече не може да прехвърли темата изцяло на вътрешен IT екип или на външен доставчик. При инцидент ще се проверява не само каква защита е имало, но и кой е одобрил мерките и как е упражнен контролът.

Кои компании попадат в обхвата

Законът обхваща съществени и важни субекти. Това са публични и частни организации в широк кръг отрасли.

  • енергетика
  • транспорт
  • здравеопазване
  • банков сектор
  • цифрова инфраструктура
  • електронни съобщения
  • доставчици на цифрови услуги
  • пощенски и куриерски услуги
  • управление на отпадъци
  • производство на критични продукти
  • части от публичната администрация

Темата е чувствителна за българския пазар по няколко причини.

  • Много средни и големи дружества извън класическата критична инфраструктура влизат в обхвата.
  • Част от засегнатите фирми са доставчици по веригите на големи европейски групи.
  • Надзорните органи получават правомощия за одити, проверки и изискване на документирани политики.

Какви са санкциите

Санкциите достигат до 10 млн. евро или 2 процента от световния годишен оборот. Това важи за съществен субект, който не изпълнява задълженията си по управление на риска и докладване, като се прилага по-високата стойност. За важен субект таванът е 7 млн. евро или 1,4 процента от оборота.

Има и личен риск за ръководството. При нарушение на правилата за управленска отговорност по чл. 21 ръководителите на административни органи, управителите и членовете на управителните органи подлежат на глоба от 500 до 5000 евро.

При съществени субекти законът допуска и допълнителни мерки.

  • временно спиране на лиценз, регистрация, сертификат или разрешение
  • ограничение за част или за всички засегнати услуги
  • искане за временна забрана физическо лице с управленски функции или законен представител да упражнява тези функции

Какво трябва да съществува в практиката

NIS2 не изисква формално покриване на чеклист. Изискват се реални технически, оперативни и организационни мерки, съразмерни на риска.

  • оценка и управление на киберриска
  • политики за реакция при инциденти
  • непрекъсваемост на дейността и възстановяване
  • сигурност по веригата на доставки
  • контрол на достъпа и управление на идентичности
  • обучение на ръководство и служители
  • процедури за докладване на значителни инциденти

За много български компании това е организационна промяна, не само техническа. Част от тях имат базови IT защити, но нямат бордови процес, формално одобрени политики или ясна линия за вземане на решения при инцидент.

Какво означава това за бизнеса

Преходният период вече приключи. Законът предвиждаше 50 процента намалени глоби и имуществени санкции за нарушения, извършени до 1 юни 2026 г.. След тази дата действа пълният санкционен режим.

Това променя вътрешната йерархия на риска в компаниите. Киберсигурността вече засяга одитните комитети, юридическите екипи, човешките ресурси и финансите. При пробив въпросът няма да бъде само какво е засегнато в мрежата. Ще се проверява и дали ръководството може да докаже, че е действало.

Защо темата има значение в България

Слаб доставчик вече може да се превърне в проблем за цялото ръководство. Българският пазар е силно зависим от външни доставчици, индустриални системи, логистика и аутсорсинг. Това прави веригата на доставки особено уязвима.

Затова основният въпрос за бизнеса вече не е дали е чувал за NIS2. Въпросът е дали ръководството е приело, че носи отговорност по закон. Отговорът в българското право е ясен.