На 5 февруари 2026 г. Народното събрание прие мащабни промени в Закона за киберсигурност, с които България привежда законодателството си в съответствие с европейската Директива NIS 2 (Директива (ЕС) 2022/2555) за постигане на високо общо ниво на киберсигурност в ЕС. Законът е обнародван в Държавен вестник на 13 февруари 2026 г. и влиза в сила на 17 февруари 2026 г. Това е най-мащабната реформа на българската киберсигурност от приемането на първоначалния закон през 2018 г. и засяга хиляди фирми и организации, които досега изобщо не са имали подобни задължения.
Кого засяга? Обхватът на закона се разширява драстично – от 8 на 18 сектора. Досега задълженията бяха предимно за „оператори на съществени услуги" и „доставчици на цифрови услуги". Сега законът обхваща и предприятия от сектори като пощенски услуги, управление на отпадъци, производство на химикали, хранително-вкусова промишленост, машиностроене, космическа инфраструктура, научноизследователски организации и много други. Организациите се класифицират като „съществени" (големи предприятия в критичните сектори по Приложение I – енергетика, транспорт, банки, здравеопазване, цифрова инфраструктура и др.) или „важни" (средни предприятия и тези от Приложение II). Критерият е размерът: ако сте средно предприятие по смисъла на Закона за МСП или по-голямо и попадате в някой от изброените сектори – законът важи за вас.
Какво трябва да направите на практика? Всяка засегната организация е длъжна да въведе цялостна система за управление на киберриска (чл. 22). Това включва: анализ на рисковете, план за реагиране при инциденти, резервни копия и възстановяване на дейността, сигурност на веригата за доставки, криптиране на данни, многофакторна автентикация, контрол на достъпа и обучения по киберхигиена. При значителен киберинцидент (чл. 23) се докладва на три етапа: ранно предупреждение до 24 часа, подробно уведомление до 72 часа и окончателен доклад до 1 месец. За доставчиците на удостоверителни (trust) услуги срокът за уведомление е още по-кратък – 24 часа. Важна нова отговорност е и за ръководството на фирмите (чл. 21): управителите и мениджърите са длъжни лично да одобряват мерките за киберсигурност и на всеки 2 години да преминават обучение по киберсигурност, както и да организират такива обучения за служителите си.
Глобите са сериозни и вече са в евро. За съществени субекти санкцията при нарушение на задълженията за управление на риска или докладване на инциденти може да достигне до 10 000 000 евро или 2% от глобалния годишен оборот (по-високата стойност), с минимален праг от 25 000 евро. За важни субекти – до 7 000 000 евро или 1,4% от оборота, минимум 12 500 евро. Ръководителите, които не изпълняват задълженията си по чл. 21 (обучение и одобряване на мерки), могат да бъдат глобени лично с 500 до 5 000 евро. Надзорните органи получават широки правомощия – могат да извършват планови и внезапни проверки, да изискват доказателства, да налагат коригиращи мерки, да спират лицензи и дори да изискват публично оповестяване на нарушения. За улесняване на прехода, до 1 юни 2026 г. глобите са намалени с 50%.
Какво означава това за обикновения гражданин? Законът не налага преки задължения на физическите лица, но цели да направи услугите, от които всички зависим – електричество, здравеопазване, банкиране, интернет, водоснабдяване – значително по-устойчиви на кибератаки. Ако вашият доставчик на ток, болницата или банката ви бъдат хакнати, вече има ясни правила колко бързо трябва да ви уведомят и какви мерки да вземат. За бизнеса посланието е ясно: киберсигурността вече не е само ИТ проблем – тя е задължение на ръководството, с конкретни срокове, проверки и глоби, съизмерими с тези по GDPR. Директивата NIS 2 вече е транспонирана в повечето страни от ЕС и с тези промени България накрая се присъединява към общоевропейската рамка за защита на мрежовата и информационна среда.
Автор и дата на последна актуализация на текста спрямо законодателството:
26.2.2026
