България въведе по-строг режим за киберсигурност с промените в Закона за киберсигурност, обнародвани в брой 17 на Държавен вестник на 13 февруари 2026 г. Законът беше приет от Народното събрание на 5 февруари 2026 г. Така страната транспонира европейската директива NIS2.

Промяната засяга повече организации, налага по-кратки срокове за докладване и дава по-широки правомощия за надзор.

Какво се променя

Законът разширява обхвата. Вместо по-тесния досегашен модел, той въвежда две категории субекти: съществени и важни.

Това включва повече организации в критични и чувствителни сектори. Сред тях са цифрова инфраструктура, електронни съобщения, енергетика, транспорт, здравеопазване и публична администрация. ENISA определя NIS2 като разширяване на обхвата и засилване на задълженията за защита на ключови услуги в ЕС.

  • Ранно предупреждение при значителен инцидент до 24 часа след установяването му.
  • Пълно уведомление до 72 часа.
  • Окончателен доклад не по-късно от един месец след уведомлението.
  • По-широки правомощия за надзор и задължителни предписания.

Най-голямата промяна е в темпото. Законът ограничава забавянето при вътрешна ескалация и отлагането на уведомяването.

Кой е по-подготвен

По-близо до готовност изглеждат големите оператори в телекомуникациите, част от енергетиката, големите доставчици на цифрова инфраструктура и държавни структури с изградени центрове за наблюдение.

Тези организации вече работят с процедури за инциденти, резервираност, логове, външни одити и дежурни екипи. Кибератаката срещу „Мейнстрийм България“, доставчик на облачни услуги на „Виваком“, обявена на 25 септември 2025 г. за инцидент от 22 септември 2025 г., показа, че големите оператори имат по-голям капацитет да ограничават щетите и да поддържат възстановяването под натиск, според БТА.

Има сигнал и за по-сериозна подготовка в централната власт. На 10 март 2026 г. БТА съобщи, че центърът за мониторинг на киберсигурността на „Информационно обслужване“, който покрива критичната инфраструктура на избрани министерства, се надгражда до Национален център за кибероперации.

Ако проектът бъде реализиран по план, това може да подобри координацията при превенция, реакция и управление на атаки в публичната администрация.

Кой изостава

Най-голям риск има за организации с критична функция, но слаб вътрешен капацитет. Това важи за част от общинските администрации, публични организации с ограничени бюджети, болници извън големите мрежи и дружества в чувствителни сектори, които досега са работили с минимален IT ресурс.

Проблемът не е само технически. Законът изисква доказуемо управление на риска, ясни отговорности и бързо докладване. Това е трудно без денонощно наблюдение, инвентар на активите, план за реакция и ръководство, което познава собствения риск.

Риск има и за организации, които още не са проверили дали попадат в обхвата. Законът дава срокове на Министерския съвет и на националните компетентни органи да определят отговорните институции и да идентифицират засегнатите субекти. Това не отменя подготовката.

На практика част от бизнеса може да установи със закъснение, че вече попада под надзор, проверки и санкции.

Защо това има значение

Темата има пряко отражение върху услуги, които гражданите и бизнесът ползват всеки ден. На 28 октомври 2025 г. вътрешният министър Даниел Митов съобщи, че от началото на 2025 г. са образувани 170 досъдебни производства за хакерски атаки и онлайн финансови измами, съобщи БТА.

При срив в болница, телеком, облачен доставчик, енергийно дружество или административна система ефектът не е само технически. Могат да спрат услуги, да се забавят плащания и да изтекат данни. Това води и до по-високи разходи.

Какво следва

След обнародването законът задейства конкретни срокове за държавата.

  • До 6 месеца от влизането в сила Министерският съвет трябва да определи административните органи по закона.
  • До 8 месеца трябва да бъдат приети подзаконови правила.
  • До 9 месеца трябва да бъде приета Национална стратегия за киберсигурност.

След това националните компетентни органи имат до 5 месеца от приемането на правителственото решение, за да определят съществените и важните субекти.

2026 г. ще бъде година на идентифициране, проверки и реално прилагане на новите изисквания.

В България има група по-подготвени организации. Тя включва телекоми, част от цифровата инфраструктура, големи оператори и някои централни държавни системи. Извън тази група картината остава неравна.

Най-силен натиск ще има върху структури без ясна отговорност, без постоянен контрол и без практика за бързо докладване на инциденти.