България затегна режима за киберсигурност с промените в Закона за киберсигурност, приети от Народното събрание на 5 февруари 2026 г. и обнародвани на 13 февруари 2026 г.

Промените въвеждат в българското право правилата на европейската директива NIS2. Те разширяват обхвата на задължените организации, налагат кратки срокове за докладване на инциденти и предвиждат високи санкции.

Законът засяга пряко болници, телекомуникационни оператори, водни дружества, цифрова инфраструктура и доставчици на IT услуги.

Какво се променя

Киберсигурността вече е изрично управленско задължение за организации, които поддържат критични и важни услуги. Законът разделя засегнатите структури в две групи:

  • съществени субекти;
  • важни субекти.

В обхвата попадат сектори като здравеопазване, енергетика, транспорт, банков сектор, питейна вода, отпадъчни води, цифрова инфраструктура, управление на ICT услуги, публична администрация, части от производството и научните изследвания.

Това разширява надзора върху болници, телекомуникационни мрежи, центрове за данни, DNS доставчици и cloud услуги.

Защо ефектът е пряк за болниците

Здравеопазването е сред секторите с най-висок обществен риск при киберинцидент. Пробив в лечебно заведение може да засегне приема, лабораториите, образната диагностика, достъпа до досиета и снабдяването с лекарства.

Новият режим изисква по-строго управление на риска. Той обхваща реакция при инциденти, непрекъсваемост на услугите, сигурност по веригата на доставките и обучение на персонала.

Твърди срокове при инцидент

Една от най-съществените промени е режимът за уведомяване. Засегнатите организации трябва да спазват няколко срока:

  • ранно предупреждение до 24 часа;
  • официално уведомление до 72 часа;
  • окончателен доклад до един месец.

Този модел ограничава възможността за продължително вътрешно изчакване при сериозен пробив. От организациите се очакват бърза оценка, своевременно уведомяване и проследима реакция.

Глоби и лична отговорност

Санкциите са сред най-строгите елементи на режима. За съществените субекти глобите могат да достигнат 10 млн. евро или 2% от световния годишен оборот, което от двете е по-високо.

  • за съществени субекти: до 10 млн. евро или 2% от световния годишен оборот;
  • за важни субекти: до 7 млн. евро или 1,4% от оборота.

Законът предвижда и лична отговорност. Членове на управлението могат да бъдат санкционирани при неизпълнение на задълженията по закона. Това поставя темата на ниво борд, управител и изпълнителен директор.

Какво следва

Според рамката до август 2026 г. правителството трябва да определи националните компетентни органи по отделните сектори. Част от правилата ще бъдат доразвити с подзаконови актове.

За бизнеса това означава нови разходи, одити, вътрешни правила и по-строг контрол върху доставчиците. За гражданите залогът е в устойчивостта на услуги, от които зависят лечението, комуникациите, водоснабдяването и цифровият достъп.

Какво трябва да проверят операторите

  • дали попадат в категорията съществени или важни субекти;
  • дали ръководството е одобрило реални мерки за управление на риска и реакция;
  • дали има готовност за уведомяване в рамките на 24 и 72 часа;
  • дали външните доставчици покриват новите изисквания;
  • дали персоналът е обучен за инциденти и непрекъсваемост на услугите.
Според BTA промените са приети, за да приведат българското законодателство в съответствие с обновените европейски изисквания. Публикуваните текстове в Държавен вестник фиксират новата правна рамка и сроковете за прилагане.