Какво е NIS2 и как да се подготвим?

NIS (Network and Information Security) е европейска директива за мрежова и информационна сигурност. Първата версия – NIS1 – въведе основни изисквания към киберсигурността за определени критични сектори и услуги. NIS2 е обновената директива, която беше приета на ниво ЕС през 2022 г., а в България вече е транспонирана с нов закон за киберсигурност (приет през февруари 2026 г.). NIS2 надгражда предшественика си с по-широк обхват и по-строги изисквания, целейки по-високо общо ниво на сигурност в целия Европейски съюз. В България законът за киберсигурност и свързаните подзаконови актове са съобразени с принципите на серията стандарти ISO/IEC 27000, които определят добрите практики за управление на информационната сигурност.

Кой попада в обхвата на NIS2?

Организациите се класифицират като „съществени“ или „важни“ субекти въз основа на три основни критерия: сектор или дейност, размер на предприятието и обществено значение на предоставяната услуга.

По правило в обхвата попадат средни и големи предприятия (с минимум 50 служители или оборот над 10 милиона евро), които извършват дейност в определени сектори. Дори по-малки организации и такива, които не попадат в обхвата, могат да бъдат включени, ако предоставят услуга с критично значение или са единствен доставчик на даден субект.

Проверете конкретните подсектори, които попадат в обхвата на NIS2: Приложение 1 и 2

Какви са санкциите при неспазване на NIS2?

Размерът на санкциите зависи от това дали организацията е определена като „съществен“ или „важен“ субект.

• При съществените субекти глобата може да достигне до 10 милиона евро или до 2% от общия световен годишен оборот на предприятието – като се прилага по-високата стойност. Минимален праг – 25 000 евро.
• При важните субекти санкцията може да достигне до 7 милиона евро или до 1,4% от световния годишен оборот, като отново се прилага по-високата стойност. Минималният праг – 12 500 евро.

Тези глоби се налагат, ако организацията не изпълнява основните си задължения – например не прилага мерки за управление на риска или не докладва значителни инциденти в срок. Освен санкции за самата организация, законът предвижда и лична отговорност. Ако ръководители или членове на управителни органи не изпълнят задълженията си, те могат да бъдат глобени лично.

Какво се взема предвид при определяне на санкцията?

Когато се налага глоба, органите не гледат само факта, че има нарушение. Те оценяват конкретните обстоятелства. От значение е колко сериозно е нарушението и какви последици е причинило. По-голяма санкция може да бъде наложена, ако щетите са значителни. Взема се предвид дали нарушението е повторно, дали е извършено умишлено или поради небрежност, както и дали организацията е реагирала своевременно при възникнал инцидент. Отежняващо обстоятелство е, ако фирмата е отказала съдействие при проверка, възпрепятствала е одит или е предоставила невярна информация.

Какви мерки изисква NIS2?

Директивата поставя цял набор мерки, които организациите трябва да изпълнят, за да управляват киберриска си. По своя характер мерките за мрежова и информационна сигурност са организационни и технически и се прилагат в съответствие със спецификата на дейността на субекта.

Те трябва да са:

• Разнородни – постигането на всяка от целите на мрежовата и информационната сигурност се реализира с различни по характер и специфика мерки, което създава условие за многослойна защита
• Конкретни и лесни за възприемане – за да се гарантира, че мерките действително се прилагат
• Ефикасни – да имат най-голямо въздействие върху потенциални заплахи, като се избягва ненужен разход на ресурси
• Пропорционални на рисковете – с оглед на постигане на оптимално съотношение между разходи и ползи при реализиране на целите на мрежовата и информационната сигурност
• Проверими – гарантират, че субектът може да предостави на съответния национален компетентен орган доказателства за ефективното им прилагане

Важно е да се отбележи, че минималните мерки за мрежова и информационна сигурност не са обвързани с определени технологии и стандарти, макар в България да се използва ISO 27000 като основна рамка за информационна сигурност.

Задължителни и препоръчителни мерки

Част от мерките са задължителни и трябва да се прилагат от всички организации в обхвата. За останалите мерки е препоръчително да се направи оценка на риска, която да определи кои са необходими за конкретните бизнес цели.

• Отговорност на ръководството: Ръководният орган (управител, борд на директорите) трябва формално да одобри политики за киберсигурност, да осигури нужните ресурси и да следи изпълнението. Ръководителите на организациите също трябва да одобряват мерките за управление на риска по киберсигурност, самите те да преминават обучение минимум на всеки две години и да осигуряват обучение на служителите.
• Ръководството носи и лична отговорност при сериозни пропуски.

• Политики за сигурност: Политиката за киберсигурност трябва да е валидна за цялата организация, без да навлиза в оперативните детайли и обяснения как точно се изпълняват те. Организацията трябва създаде официални вътрешни правила – документирана политика, в която е описано как се защитават активите на организацията – служители, данни, устройства, услуги и партньори. Тези правила обхващат процеси за идентифициране на активите, оценка на риска за тях и мерки за третиране на рисковете.

• Управление и докладване на киберинцидент: Организациите трябва да имат ясна процедура за реакция при „значителен инцидент“ – кой и по какъв начин докладва инцидента, кой го анализира, как се ограничава въздействието и как се възстановява дейността на организацията. Законът изисква инцидентите да бъдат официално докладвани, а не прикривани. Уведомяването в България се извършва към СЕРИКС със сроковете:
  • до 24 часа – изпраща се първоначално уведомление
  • до 72 часа – изпраща се по-подробна информация
  • до един месец – се подготвя и изпраща окончателен доклад с причините и предприетите мерки.

„Значителен инцидент“
Инцидент, който е причинил или е в състояние да причини сериозно оперативно смущение в услугите или финансова загуба за засегнатия субект, или е засегнал, или е в състояние да засегне други физически или юридически лица, причинявайки значителни материални или нематериални вреди.

• Непрекъсваемост на дейността и план за възстановяване: От организациите се изисква да бъде създаден план за непрекъсваемост на дейността – как компанията ще продължи да работи, ако ключови ИТ системи откажат, настъпи природно бедствие или бъдат обект на атака. Това може да включва решения за архивиране и възстановяване (Backup & Disaster Recovery), дублирани резервни системи и дори работни помещения изнесени на друга локация.

• Сигурност на веригата за доставки: много инциденти стават именно чрез компрометиране на партньор – заради това NIS2 обръща специално внимание на supply chain риска. Необходимо е да се управляват рисковете, които идват от външни доставчици/снабдители – ИТ фирми, телекоми, софтуерни производители, облачни услуги и други. Доставчиците на субектите е необходимо да поддържат добро ниво на киберсигурност, в договорите да има клаузи за защита на информацията /NDA/, време за реакция /SLA/ и уведомление в случай на кибериноидент.

• Сигурност при придобиване, разработка и поддръжка: Организациите трябва да мислят за защитата още при закупуване, внедряване и конфигуриране на даден продукт или система, както и за последваща поддръжка, следене за уязвимости и предприемана на адекватни мерки при откриване на нередности.

• Сигурност на човешките ресурси и контрол на достъпа: Нужно е ясно да се определят кой потребител до кои ресурси има достъп. Даване на достъп да става по установен ред (например нов служител получава служебен акаунт и нужните му права, но не и повече), а при напускане – незабавно спиране на достъпа. Всички информационни активи (системи, устройства, данни) трябва да бъдат описани и отговорностите за тях да са определени.

• Криптография и защита на данните: Чувствителната информация трябва да бъде криптирана при съхранение и пренос. С прости думи – ако някой отвън, чрез неоторизиран достъп достигне до базата ви данни или открадне служебен лаптоп, данните върху тях да не могат да се прочетат без ключ. Използването на утвърдени алгоритми за криптиране на дискове, комуникации (VPN, SSL/TLS) и т.н. е силно препоръчително и на места задължително.

• Многофакторна автентикация: За важни системи, за системи с достъп през интернет и администраторски достъп NIS2 изисква multi-factor authentication (MFA) – повече от една стъпка за удостоверяване. Целта е да се предотврати неоторизиран достъп дори ако една парола изтече. Също така всички дистанционни достъпи (VPN, отдалечен десктоп и др.) трябва да са допълнително защитени с технологични решения.

• Обучения и киберхигиена: Всички служители (включително ръководство) трябва редовно да минават обучение по киберсигурност. Темите включват базова киберхигиена – разпознаване на фишинг имейли, безопасно ползване на интернет, защита на пароли, докладване на инциденти. Човешкият фактор е най-слабото звено, затова NIS2 обръща внимание на повишаване на осведомеността.

• Управление на измененията на информационните активи – всички промени въвеждани в системите трябва да бъдат предварително оценени, одобрени и документирани. Това е част от задължението за прилагане на технически и организационни мерки за управление на риска в информационните активи – например при промяна на конфигурация, внедряване на нови софтуерни или хардуерни решения, миграции и други.

• Мониторинг и одити: мерките е необходимо да се проверяват дали работят на практика – това включва провеждане на тестове, вътрешни проверки и независими одити. В България по закон се изисква най-малко веднъж годишно да се извършва вътрешен одит на сигурността, като е препоръчително той да се прави от компетентно лице или външна фирма. При одита се преглеждат всички процеси и политики – целта е да се види реалното състояние, а не само какво имаме на хартия.

Използване на сертифицирани решения: NIS2 насърчава използването на сертифицирани продукти и услуги. В закон е предвидено, че може да се ограничи използването на рискови технологии – например да се забрани на важни субекти да ползват оборудване от определени доставчици, ako крият висок риск за националната сигурност.

Подготовка за NIS2 – откъде да започнем?

Ако досега не сте имали стратегия за защита на информационните технологии, внедряването на изискванията на NIS2 може да изглежда сложно. Най-честата грешка е да се започне директно с закупуване на скъпи технологични решения. В действителност, технологичните мерки идват накрая, а не в началото. Преди да инвестирате в софтуер, хардуер и услуги е препоръчително да изградите основата на системата за информационна сигурност: хора, процеси и план за действие.

Откъде да започнем?

• Ангажиране и създаване на екип: Ръководителите на организациите е необходимо да бъдат запознати с това какво изисква законът, какви могат да бъдат последиците от неспазване. Добре е да се определи отговорник по киберсигурност или ако фирмата е малка – това да е допълнителна роля на някой служител или външен консултант.

• Запознаване на служителите с NIS2: Важно е да се проведат кратки вътрешни презентации или кратки обучения за всички служители що е то NIS2, какви нови политики ще се въведат в организацията и защо това е важно. Целта е хората да разберат смисъла – че всеки има роля да опази информацията на организацията като своя собствена.

• Определяне на отговорни лица и звена: Законът изисква да се посочат контактни лица – например лице за връзка с компетентните органи (когато трябва да се докладва инцидент), лице, което координира защитата (може да е ИТ ръководител или външен експерт) и др. Вътрешно също разпределете кой за какво отговаря: кой одобрява политики (ръководството), кой ги изпълнява (ИТ, отдели), кой следи за спазване (вътрешен одитор или друго лице).

В случай на проверка от държавни органи, при възникване на кибер престъпление, а дори и за тълкуване на закона е добре да разполагате с юридическо лице, което да окаже помощ при нужда.

• Изготвяне на политика за киберсигурност: Официален документ, който очертава ангажимента на организацията към сигурността. Политиката трябва да включва общи принципи (например “ Целта на политиката е да поддържа високо ниво на информационна сигурност в съответствие с закона“), обхват (съответните мерки, какви системи и информация са обхванати), основни роли и отговорности, както и препратки към конкретни процедури, които ще бъдат разработени подробно на базата на тази рамка.

• Процедура за докладване на инциденти: Изработете вътрешна процедура – какво правим при съмнение или в случай на кибератака. Тази процедура описва: дефиниция на инцидент (кои случаи се считат за инцидент), кого уведомяваме (напр. ИТ отговорника и ръководител), как се изолира проблемът, кой комуникира с клиенти или партньори, ако съществува риск за тях, кой преценява дали да се активира планът за непрекъсваемост. Също така включете стъпки срокове за външно уведомление: при значим инцидент – как да се свържете със СЕРИКС/НЕРИКС и каква информация да им предоставите.

При докладване или при първоначален одит е необходимо се предпазват конфиденциалните данни/търговските тайни на организацията – обичайно не е нужно да изпращате чувствителни данни, а само обобщена информация за инцидента.

• Инвентаризация на активите: Преди да наложите каквито и да е технологични мерки, трябва да знаете какво ще защитавате. Извършете пълен одит на ИТ активите – направете списък на всички информационни активи, които фирмата притежава или използва. Под „ИТ актив“ се разбира всяка система, устройство, платформа, услуга или доставчик, които участват в съхранението, обработката или предаването на информация. Целта на този списък е да имате пълна картина: не може да защитите нещо, за чието съществуване не знаете:

1. • Компютри и лаптопи на служителите: списък с всички служебни устройства, кои служители ги ползват, каква операционна система и основен софтуер имат. Това включва и мобилни устройства, ако достъпват служебни имейли или документи.

1. • Мрежова инфраструктура: рутери, суичове, Wi-Fi точки за достъп, кабелна мрежа – всичко през което минават данните. Ако имате офис, опишете мрежовата си топология накратко.

1. • Сървъри – локални, облачни или изнесени в дейтацентър: ако имате фирмен сървър (физически в офиса или нает облачен сървър), той е критичен актив, на който се пази важна информация. Трябва да знаете точно какви данни съхранява всяка такава машина и какви биха били рисковете, ако сървърът бъде компрометиран или спре да работи.

1. • Специализиран и приложен софтуер: кои програми са критични за дейността? Например счетоводен софтуер, CRM/ERP система, уебсайтът ви, облачни услуги като Office 365, Google Workspace или др. Дори ако са „в облака“, вие носите отговорност за използването им безопасно.

1. • Данни и бази данни: какви видове данни обработвате? Персонални данни на клиенти, финансови отчети, производствени тайни, документи по проекти – направете каталог. Някои данни може да са на хартиен носител – включете и тях, ако са съществени (напр. архив договори).

1. • Външни доставчици: ако ползвате външна ИТ поддръжка, счетоводна къща или друг партньор, който има достъп до вашата информация или системи – включете ги в списъка с ИТ активи. Те са част от веригата ви на доставки.

1. • Подпомагащи системи: тук много организации забравят, но NIS2 ни напомня да мислим широко. Всички устройства, които подпомагат работата на ИТ системите, като електрозахранващи системи, UPS, климатични инсталации, контрол на достъп, видеонаблюдение и други, също трябва да бъдат оценени.

• Оценка на риска: След като знаете кои са вашите ИТ активи, трябва да прецените какво може да се обърка с всеки от тях и колко сериозно би навредило това на вашата дейност и бизнес цели.

Стъпки при оценка на риска

Принципът е логичен: за всеки актив разглеждаме заплахи/уязвимости, потенциално въздействие и вероятност за реализация. На база на тези параметри калкулираме крайна оценка и решаваме какви мерки са нужни за смекчаване на риска, където е наложително.

Практически съвети и заблуди

Не е само технология – изградете система: Както вече стана ясно, NIS2 не казва „купи продукт X и си защитен“, а изисква да се изгради система – от хора, процеси и технологии. В действителност, технологиите са последното парче от пъзела. Ако нямаме ясни правила и обучени хора, дори най-скъпата техника няма да ви защити. Затова първо разберете какво ще защитавате, изгответе план (политики, процеси и процедури), ангажирайте всички ключови участници – и тогава внедрявайте технически решения според вашите приоритети.

Започнете с базовите и ефективни мерки: Изградете основата и надграждайте поетапно. Първо направете анализ и оценка на риска, след което изберете технологии, които са съвременни, надеждни и доказано работещи в практиката. Един добър подход е да се консултирате с колеги от вашия бранш или независим експерт – те могат да споделят опит кои решения работят добре за вашите нужди.

Няма универсална рецепта за съответствие: Законът не изисква конкретен производител или технология – важно е избраните решения реално да намаляват риска и да са съобразени с бюджета и нуждите на организацията. Пазете се от чисто маркетингови предложения на някои доставчици, които ще ви убеждават, че ви e необходим непременно да инвестирате в скъпа техника, с която ще постигнете съответствие с NIS2.

Ролята на всеки служител е важна: Киберсигурността не е отделна функция, а част от културата на организацията. Всеки – от директор до стажант – има своя роля. Ръководството трябва да дава пример и да осигури условия. ИТ персоналът е двигателят – те прилагат мерките на практика. Юристите помагат политиките и договорите да са изрядни и съответстващи на закона. Одиторите или контролиращите лица периодично проверяват и дават обратна връзка какво е необходимо да се подобри. А всички служители са фронтовата линия – очите и ушите на системата – те често първи забелязват техническите проблеми или аномалии в системите.

Постоянство, а не еднократен проект: Въвеждането на мерките по NIS2 не бива да се възприема като еднократно действие „нека да подготвим документите за два дни и да отбием номера“. Всъщност, законодателството изисква постоянност: ежегодна преоценка на риска, редовни обучения, актуализация на политиките при промени, одити поне веднъж годишно. Киберзаплахите се развиват непрекъснато – съответно и вашата система за сигурност трябва да е динамична.

Устойчивост във времето

NIS2 не е просто техническа тема, а обхваща управление, процеси, хора, технология – цялостна система за киберсигурност. За много организации това ще изисква значителни усилия: време за разработване на политики, финансови ресурси за внедряване на мерки, обучение на персонала, постоянен контрол и подобрения.

Погледнете на процеса не просто като на изпълнение на законово изискване, а като на изграждане на киберустойчивост – способността да устоите и да се възстановите от удар. С добра подготовка, поетапни стъпки и ангажираност от всички нива, вашата организация може да превърне сигурността в свое конкурентно предимство.

Източници и полезни връзки:

• Закон за киберсигурност – https://www.lex.bg/bg/laws/ldoc/2137188253
• Директива NIS2 (ЕС) – https://eur-lex.europa.eu/legal-content/BG/TXT/?uri=CELEX:32022L2555
• Законодателна рамка – Държавна агенция „Електронно управление“ – https://e-gov.bg/wps/portal/agency/strategies-policies/network-security/mis-rules
• CERT Bulgaria Национален екип за реагиране при инциденти с компютърната сигурност – https://www.govcert.bg
• Европейска аганеция за киберсигурност – ENISA – https://www.enisa.europa.eu
• Техническа имплементация – ENISA – https://www.enisa.europa.eu/sites/default/files/2025-06/ENISA_Technical_implementation_guidance_on_cybersecurity_risk_management_measures_version_1.0.pdf
• NIS2 съпоставка със стандарти – ENISA – https://www.enisa.europa.eu/sites/default/files/2025-09/ENISA_Technical_Implementation_Guidance_Mapping_table_version_1.2.xlsx
• NIS2 Transposition Tracker – https://ecs-org.eu/activities/nis2-directive-transposition-tracker/
• Наредба за минималните изисквания (NIS1) – https://www.mtc.government.bg/sites/default/files/nar_minimalnite_iziskvaniq_mrejova_info_sigurnost-072019.pdf
• Примерен въпросник при одит (NIS1) – https://e-gov.bg/wps/wcm/connect/e-gov.bg-18083/1f8141b9-16ca-4cfc-bf2b-18f413336247/Приложение1+Анкета.xlsx?MOD=AJPERES