Закон за изменение и допълнение на Закона за киберсигурност — резюме на разбираем език
Приет на 5 февруари 2026 г. Това е мащабна промяна, която привежда българското законодателство в съответствие с европейската Директива NIS 2 (за високо общо ниво на киберсигурност в ЕС). Ето какво се променя на практика:
Кой е засегнат — много повече организации от преди
Досега законът обхващаше основно „оператори на съществени услуги“ и „доставчици на цифрови услуги“. Сега обхватът се разширява драстично и включва:
- Всички административни органи (държавни институции)
- Средни и големи фирми от ключови сектори (енергетика, транспорт, банки, здравеопазване, водоснабдяване, производство, храни, химикали, пощи, космос и др.)
- ИТ компании — облачни доставчици, центрове за данни, доставчици на DNS, социални мрежи, онлайн търсачки, онлайн магазини
- Доставчици на управлявани ИТ услуги (managed services) и услуги за киберсигурност
- Съдебната власт и образователни институции с критични научни дейности
Организациите се делят на „съществени“ (големите и критичните) и „важни“ (средните), като за двете групи важат различни нива на контрол.
Какво трябва да правят засегнатите организации
Управление на риска (чл. 22) — всяка организация трябва да въведе мерки, включващи: анализ на риска, план при инциденти, резервни копия, сигурност на веригата за доставки, криптиране, многофакторна автентикация, обучения за киберхигиена, контрол на достъпа и др.
Докладване на инциденти (чл. 23) — при значителен киберинцидент:
- До 24 часа — ранно предупреждение
- До 72 часа — подробно уведомление
- До 1 месец — окончателен доклад
Обучение на ръководството (чл. 21) — шефовете на фирмите са длъжни на всеки 2 години да преминават обучение по киберсигурност и да организират такива и за служителите си.
Институционална рамка
- Регистър на всички засегнати субекти, воден от министъра на електронното управление (не е публичен)
- Секторни екипи за реагиране (СЕРИКС) към всеки национален компетентен орган
- Национален екип (НЕРИКС) — координира всичко на национално ниво
- Съветът по киберсигурност управлява кризите при мащабни кибератаки
- Нова роля за ДАНС — уведомяват се при инциденти, засягащи национална сигурност
- МВР докладва пред парламента на всеки 6 месеца за случаите на блокиране на интернет трафик
Глоби — вече в евро и много по-високи
- Съществени субекти: до 10 000 000 евро или 2% от глобалния годишен оборот
- Важни субекти: до 7 000 000 евро или 1,4% от оборота
- Ръководители: глоба 500–5000 евро
- За неизпълнение на предписания: 2500–25 000 евро
- До 1 юни 2026 г. глобите се намаляват с 50% (гратисен период)
Други важни нови моменти
- Ограничаване на рискови технологии — правителството може да забрани конкретни технологии или доставчици, с 3-годишен преходен период
- Забрана на приложения и сайтове на служебни устройства в държавната администрация
- Задължителна регистрация на домейни — регистрите трябва да поддържат точни данни за собствениците и да ги предоставят при поискване от властите до 72 часа
- Доброволен обмен на информация за киберзаплахи между организации се насърчава чрез специални споразумения
- Отделен център за киберсигурност за публичните енергийни компании
Накратко: Законът значително разширява кой трябва да се грижи за киберсигурността си, въвежда строги правила за докладване на инциденти, сериозни глоби в евро и създава цялостна система за координация и контрол — от секторни екипи до национално ниво и сътрудничество с ЕС.
