Нови глоби до 10 млн. евро поставят българския бизнес под натиск за киберсигурност
Промените в Закона за киберсигурност разширяват обхвата и въвеждат глоби до 10 млн. евро или 2% от глобалния оборот.
Българските компании в критични и ключови сектори вече са под по-строг режим за киберсигурност. На 13 февруари 2026 г. в Държавен вестник бяха обнародвани промените в Закона за киберсигурност, с които България въведе правилата на европейската директива NIS2.
Промените разширяват обхвата на закона, съкращават сроковете за докладване и увеличават санкциите при неизпълнение.
- Обхватът се разширява от 8 на 18 сектора
- Ранно предупреждение при инцидент се подава до 24 часа
- Уведомление с първоначална оценка се подава до 72 часа
- Окончателен доклад се подава до един месец
- Санкциите достигат до 10 млн. евро или 2% от глобалния годишен оборот
Какво се променя
NIS2 е европейската рамка за защита на мрежи и информационни системи. Директивата е в сила в EU от 16 януари 2023 г. Държавите членки трябваше да я въведат в националното си право до 17 октомври 2024 г.
Българският парламент прие окончателно измененията на 5 февруари 2026 г., според БТА. Законът разширява обхвата от 8 на 18 сектора. Сред новите попадат пощи и куриерски услуги, управление на отпадъци, химическа и хранителна индустрия, части от производството, цифрови услуги, научни организации и допълнителни категории публични и частни субекти.
Каква е цената при нарушение
Най-съществената промяна е в санкциите. За т.нар. съществени субекти имуществената санкция може да достигне 10 млн. евро или 2% от глобалния годишен оборот, което от двете е по-високо.
За важните субекти таванът е до 7 млн. евро или 1,4% от глобалния оборот. Това променя оценката на риска за бизнеса. Разходите за защита, одит, резервни системи и външни експерти вече се сравняват и с риска от регулаторна санкция.
Сроковете са кратки
При значителен инцидент субектите трябва да подадат ранно предупреждение до 24 часа след установяването му. До 72 часа трябва да изпратят уведомление с първоначална оценка на тежестта и въздействието. Окончателният доклад се подава до един месец след уведомлението.
Тези срокове изискват готов процес преди инцидентът да настъпи. Без вътрешен екип, външен партньор, журнални записи и план за реакция спазването им е трудно.
Кои компании са засегнати
Новият режим не засяга само големите оператори. Той обхваща повече доставчици по веригата. Това включва фирми, които работят с енергетика, транспорт, здравеопазване, цифрова инфраструктура, администрация, производство и услуги между предприятия.
За българския пазар това е важно, защото много средни компании досега третираха киберсигурността като IT разход. Новите правила я преместват на ниво управителен съвет, правен отдел и финансово управление.
Закъснялата реакция вече носи не само риск от пробив, а и пряк риск от тежка санкция.
Допълнителен натиск от европейски правила
Натискът не идва само от NIS2. За финансовия сектор регламентът DORA се прилага от 17 януари 2025 г., според ESMA. Той въвежда отделни правила за дигитална оперативна устойчивост, включително за управление на ICT риска, докладване на инциденти и зависимост от външни доставчици.
Според Европейската комисия задълженията за докладване по Cyber Resilience Act започват да се прилагат от 11 септември 2026 г. Основните задължения по този регламент ще важат от 11 декември 2027 г. Производители и доставчици на продукти с цифрови елементи вече подготвят процесите си.
Какво следва в България
Българският закон предвижда следващи срокове за администрацията. Министерският съвет трябва в рамките на шест месеца от влизането в сила на закона да определи административните органи и да приеме методика. След това националните компетентни органи трябва да определят съществените и важните субекти.
През втората половина на 2026 г. много компании може официално да разберат, че вече попадат в обхвата. За част от тях най-скъпият риск може да се окаже късното установяване на това задължение.
Защо това засяга и клиентите
Когато фирма забави реакция при киберинцидент, ефектът не спира в сървърната зала. Засегнати могат да бъдат доставки, плащания, болнични системи, логистика, онлайн услуги и административни процеси.
Новите правила целят този риск да бъде ограничен по-рано. За бизнеса това означава нови разходи и по-строг контрол. За гражданите това означава по-високи очаквания към услугите, които използват всеки ден.