България въведе по-строг режим за киберсигурност с изменения в Закона за киберсигурност, обнародвани в Държавен вестник на 13 февруари 2026 г. Парламентът прие промените окончателно на 5 февруари 2026 г. Те засягат оператори на ключови услуги, банки, цифрови доставчици и други критични сектори.

Промените въвеждат в българското право европейската директива NIS2. Законът разширява кръга на организациите под надзор. Съкратени са сроковете за докладване на инциденти. Разширени са и правомощията за проверки и ограничения върху рискови технологии.

Промяната засяга услуги с пряк ефект върху всекидневието, включително банкиране, мобилни мрежи, болници, вода, доставки и онлайн услуги.

Какво се променя

Най-голямата промяна е в обхвата. По данни на БТА секторите по закона се разширяват от 8 на 18. Под режима попадат по-широко публични и частни субекти, доставчици на квалифицирани удостоверителни услуги, регистри на домейни, части от научната и образователната система и органи на съдебната власт.

  • енергетика
  • транспорт
  • банки и инфраструктури на финансовите пазари
  • здравеопазване
  • питейна вода и отпадъчни води
  • цифрова инфраструктура и цифрови услуги
  • пощенски и куриерски услуги
  • управление на отпадъци
  • производство на храни, химикали, медицински изделия, компютри и електроника

Това означава, че повече компании и институции вече носят пряка законова отговорност при киберинцидент. Ефектът е пряк за плащанията, комуникациите, болничните системи, доставките и индустрията.

Нови срокове за докладване

Законът налага по-бърза реакция. Съществените и важните субекти трябва да уведомят секторния екип за реагиране при значителен инцидент до 24 часа след установяването му. До 72 часа трябва да подадат актуализация и първоначална оценка на тежестта, въздействието и техническите данни. Окончателният доклад се подава до един месец след актуализираното уведомление.

Това ограничава практиката подобни случаи да се обработват продължително вътрешно. При атака срещу банка, телекомуникационен оператор или болница времето за забавяне става значително по-кратко.

Банките са сред най-засегнатите

Банковият сектор е сред областите с най-висок обществен ефект. Европейската комисия посочва банките и инфраструктурите на финансовия пазар като ключови области под национален надзор в България. За финансовия сектор паралелно се прилага и европейският регламент DORA, който поставя отделни изисквания за оперативната устойчивост на цифровите технологии.

Това увеличава натиска върху банките. Те трябва да защитават плащанията, данните и достъпа до услуги. Те трябва и да доказват пред надзорните органи, че могат да устоят на пробив, срив или атака по веригата на ИКТ доставките.

По-силни правомощия за контрол

Държавата получава по-широки инструменти за надзор. Компетентните органи могат да правят планови и извънпланови проверки, на място или дистанционно. Те могат да изискват документи, данни и доказателства. Могат и да възлагат редовни или целеви одити на сигурността.

Министерският съвет може да налага изисквания съществените и важните субекти да използват определени ИКТ продукти, услуги и процедури, когато те са доказано подходящи и сертифицирани по европейски схеми. Според БТА законът допуска и ограничения върху конкретни технологии или критични вериги за доставки от държави извън ЕС, ако оценката на риска покаже заплаха.

Защо това има значение

Промяната не е само техническа. Тя засяга услуги, които гражданите и бизнесът използват ежедневно. Това включва банкови преводи, мобилни мрежи, болнични системи, водоснабдяване, логистика и онлайн платформи. При срив или атака рискът излиза извън рамките на една компания и се превръща в обществен и икономически проблем.

Има и европейски контекст. Европейската комисия отбелязва, че на 7 май 2025 г. е изпратила мотивирано становище до България заради непълно уведомяване за транспонирането на NIS2. Промените, приети през февруари 2026 г., са и отговор на това забавяне.

Какво следва

Следващият тест е прилагането. Компаниите и институциите трябва да преработят вътрешните си правила, да подготвят екипи за реакция, да проверят доставчиците си и да ускорят процедурите за докладване.

За бизнеса това означава нови разходи и повече проверки. За държавата това е тест дали може да наложи ефективен контрол. За гражданите въпросът е дали ключовите услуги ще останат достъпни при сериозен киберинцидент.