България прилага нов режим по киберсигурност от 17 февруари 2026 г. На тази дата влязоха в сила промените в Закона за киберсигурност, с които страната въведе европейската директива NIS2. Промяната разширява обхвата на засегнатите организации, повишава санкциите и поставя нови задължения пред ръководството.

NIS2 изважда киберсигурността от рамките на ИТ отдела. Законът изисква повече компании и институции да управляват киберриска, да докладват инциденти в кратки срокове и да доказват, че мерките им работят на практика.

Новият режим санкционира не само пробивите, но и липсата на подготовка, слабия контрол и забавеното докладване.

Какво се промени

Народното събрание прие окончателно измененията на 5 февруари 2026 г. Законът беше обнародван на 13 февруари 2026 г. и влезе в сила на 17 февруари 2026 г. Европейската комисия изпрати мотивирано становище на 7 май 2025 г. за непълно въвеждане на директивата, което постави България под допълнителен натиск да завърши транспонирането.

Обхватът вече включва 18 сектора. Освен енергетика, транспорт, банкиране, здравеопазване и цифрова инфраструктура, правилата обхващат и производства, храни, отпадъци, пощенски и куриерски услуги, научни организации и други дейности.

  • по-широк обхват на засегнатите компании
  • задължително управление на киберриска
  • кратки срокове за докладване на инциденти
  • отговорност на ръководството
  • санкции, обвързани и с оборота

Кой е най-изложен на риск

Най-уязвими са компаниите, които третират киберсигурността като задача само на ИТ екипа. Новият режим изисква ръководството да одобрява мерките, да следи изпълнението им и да носи отговорност при пропуски.

Особено изложени са средни и големи предприятия в сектори с по-слаб досегашен регулаторен натиск. Част от тях използват ERP системи, производствени линии, външни доставчици, облачни услуги и отдалечен достъп, но нямат достатъчно развити процеси за оценка на риска, резервни копия, контрол на достъпа и реакция при инцидент.

Какво вече се изисква

Засегнатите организации трябва да изградят реална система за управление на киберриска. Законът поставя акцент върху конкретни мерки, а не върху формално съответствие.

  • анализ и оценка на риска
  • планове за реакция при инцидент
  • резервни копия и възстановяване на дейността
  • сигурност на веригата на доставки
  • криптиране, контрол на достъпа и многофакторна автентикация
  • обучение по киберхигиена

Докладването при значим инцидент е на етапи. Ранното предупреждение е до 24 часа. Следва уведомление до 72 часа. Окончателният доклад е до един месец.

Колко струва неподготвеността

Санкциите са сред най-съществените елементи на режима. За съществени субекти глобите могат да достигнат до 10 млн. евро или 2% от глобалния годишен оборот, което от двете е по-високо. За важни субекти таванът е до 7 млн. евро или 1,4% от оборота.

Има и личен риск за ръководителите. Мениджъри, които не изпълняват задълженията си по одобряване на мерките и обучение, могат да бъдат санкционирани отделно. Това прехвърля темата от оперативно към управленско ниво.

Защо това има значение

Промяната идва на фона на по-строга линия на ЕС по киберустойчивостта. За България това е и наваксване след забавено транспониране. За бизнеса ефектът е пряк, защото новите изисквания означават разходи за защита, процеси и персонал.

По-високият стандарт може да стане условие за достъп до големи клиенти, международни групи и публични поръчки. Във веригите за доставки слабата защита на един доставчик може да се превърне в риск за всички останали, посочват Европейската комисия, DPC и Pravatami.bg.

Къде ще е спорът

Очакваните спорове са по три основни линии.

  • колко широк е реалният обхват на новите правила
  • дали по-слабо подготвени сектори могат да покрият сроковете и мерките
  • дали държавата има капацитет за последователен контрол и ясни указания

Основният факт е, че правилата вече са в сила. За част от българския бизнес рискът вече не е само следваща хакерска атака, а и санкции за липса на подготовка.