NIS2 вече е закон в България. Готова ли е вашата организация?
Най-значимата регулация на ЕС в областта на киберсигурността от десетилетие влезе в сила в България на 17 февруари 2026 г. Ето какво означава тя за организацията ви — на разбираем език.
Проверка на обхвата
В обхвата на NIS2 ли сте?
Отговорете на 6 кратки въпроса, за да разберете дали NIS2 се отнася за организацията ви — и в коя категория попадате.
Извършва ли организацията ви дейност в България или предоставя услуги на български клиенти или инфраструктура?
NIS2 се прилага за организации, установени в ЕС, или такива извън ЕС, които предлагат услуги в него.
Кой сектор най-добре описва основната дейност на организацията ви?
Изберете най-близкото съответствие. Ако работите в няколко сектора, изберете този, който представлява основния ви бизнес.
Колко служители има организацията ви?
Включете служителите на пълно и непълно работно време. Ако сте част от по-голяма група, използвайте числеността на групата.
Какъв е приблизителният годишен оборот на организацията ви?
Използвайте последната си финансова година. Ако сте част от група, използвайте консолидирания оборот на групата.
Предоставя ли или управлява организацията ви критична цифрова инфраструктура или услуги за други организации?
Това включва управлявани ИТ услуги или услуги по сигурност, облачен хостинг, управление на мрежи, дейта центрове или критични софтуерни платформи.
Би ли засегнало значително прекъсване на услугите ви обществената безопасност, икономиката или други критични услуги?
Помислете за ефекта надолу по веригата. Регулаторите вземат това предвид, когато преценяват дали по-малки организации все пак попадат в обхвата.
Организацията ви вероятно попада в обхвата като съществен субект.
Съществените субекти носят най-строгите задължения по NIS2 и подлежат на проактивен надзор — тоест регулаторите могат да ви одитират по всяко време, без да чакат инцидент. Ръководството може да носи лична отговорност за нарушения.
- Максимална глоба: €10 милиона или 2% от глобалния годишен оборот
- Проактивен (предварителен) надзор от CERT Bulgaria и ДАНС
- Задължително докладване на инциденти: ранно предупреждение до 24 часа, пълен доклад до 72 часа
- Отговорност на висшето ръководство — прилага се лична отговорност
Този инструмент дава ориентировъчна оценка въз основа на Директивата NIS2, транспонирана в българското законодателство (в сила от 17 февруари 2026 г.). Не представлява правен съвет. Сънуел Солюшънс препоръчва да потвърдите задълженията си за съответствие с квалифициран юрист или консултант по съответствие.
Организацията ви вероятно попада в обхвата като важен субект.
Важните субекти трябва да изпълняват същите основни задължения за сигурност по NIS2 като съществените. Основната разлика е в стила на надзор — подлежите на реактивен надзор, тоест регулаторите обикновено действат след инцидент или жалба, вместо да провеждат внезапни одити.
- Максимална глоба: €7 милиона или 1,4% от глобалния годишен оборот
- Реактивен (последващ) надзор — но глобите все пак са значителни
- Същите задължения за докладване: важат сроковете от 24 и 72 часа
- Трябва да бъдат покрити и шестте области на задължения
Този инструмент дава ориентировъчна оценка въз основа на Директивата NIS2, транспонирана в българското законодателство (в сила от 17 февруари 2026 г.). Не представлява правен съвет. Сънуел Солюшънс препоръчва да потвърдите задълженията си за съответствие с квалифициран юрист или консултант по съответствие.
Организацията ви изглежда е извън обхвата на NIS2.
Според отговорите ви NIS2 не изглежда да се прилага пряко за организацията ви. Все пак може да сте засегнати косвено — ако клиентите или доставчиците ви са в обхвата, те може да изискват гаранции за сигурност от вас като част от задълженията си по веригата на доставки.
- Правилата на NIS2 за веригата на доставки означават, че клиенти в обхвата може да поискат вашето ниво на сигурност
- Добрите практики по киберсигурност остават важни, независимо от регулаторния обхват
- Статусът ви спрямо обхвата трябва да се преразгледа, ако секторът, размерът или услугите ви се променят
Този инструмент дава ориентировъчна оценка въз основа на Директивата NIS2, транспонирана в българското законодателство (в сила от 17 февруари 2026 г.). Не представлява правен съвет. Сънуел Солюшънс препоръчва да потвърдите задълженията си за съответствие с квалифициран юрист или консултант по съответствие.
Контекст
Какво е NIS2?
NIS2 е обновената директива на ЕС за мрежова и информационна сигурност. Мислете за нея като за базов набор от правила за киберсигурност, които всяка отговаряща на условията организация трябва да спазва — или да понесе сериозни глоби.
Надграждане над NIS1
Разширеният обхват включва далеч повече организации от първоначалната директива. Ако досега не сте били в обхвата, сега може да сте.
Общоевропейска, прилагана на местно ниво
В България CERT Bulgaria приема уведомленията за инциденти, а ДАНС (Държавна агенция „Национална сигурност") е основният надзорен орган.
Отговорност на ръководството
Висшето ръководство носи лична отговорност за съответствието с изискванията за киберсигурност. При сериозни или повтарящи се нарушения може да бъде временно отстранено от длъжност.
Строго докладване на инциденти
Ранно предупреждение до CERT Bulgaria в рамките на 24 часа, последвано от пълен доклад в рамките на 72 часа. Пропускането на тези срокове само по себе си е нарушение.
Обхват
Коя категория се отнася за вас?
Сектори с висока критичност
Подлежат на проактивен (предварителен) надзор. Регулаторите могат да ви одитират по всяко време, без да чакат инцидент.
Сектори
Прагове за размер
- 250+ служители
- €50 млн.+ годишен оборот
- €43 млн.+ обща балансова стойност
Други критични сектори
Подлежат на реактивен (последващ) надзор. Регулаторите разследват след инциденти или жалби — но глобите все пак могат да са значителни.
Сектори
Прагове за размер
- 50–249 служители
- €10 млн.–€50 млн. годишен оборот
- До €43 млн. обща балансова стойност
Какво трябва да направите
Основни задължения
Внедрете документирана, базирана на риска политика за киберсигурност, обхващаща технологиите, хората и процесите ви. Висшето ръководство трябва официално да я одобри и да поеме отговорност за програмата.
Несъответствие
Санкции
€10 милиона
или 2% от глобалния годишен оборот — по-високото от двете
Плюс възможно временно отстраняване на ръководството от длъжност при сериозни или повтарящи се нарушения.
€7 милиона
или 1,4% от глобалния годишен оборот — по-високото от двете
Реактивният надзор означава, че санкциите обикновено следват инцидент или жалба — но глобите все пак могат да са значителни.
Проверка на обхвата
В обхвата на NIS2 ли сте?
Отговорете на 6 кратки въпроса, за да разберете дали NIS2 се отнася за организацията ви — и в коя категория попадате.
Извършва ли организацията ви дейност в България или предоставя услуги на български клиенти или инфраструктура?
NIS2 се прилага за организации, установени в ЕС, или такива извън ЕС, които предлагат услуги в него.
Кой сектор най-добре описва основната дейност на организацията ви?
Изберете най-близкото съответствие. Ако работите в няколко сектора, изберете този, който представлява основния ви бизнес.
Колко служители има организацията ви?
Включете служителите на пълно и непълно работно време. Ако сте част от по-голяма група, използвайте числеността на групата.
Какъв е приблизителният годишен оборот на организацията ви?
Използвайте последната си финансова година. Ако сте част от група, използвайте консолидирания оборот на групата.
Предоставя ли или управлява организацията ви критична цифрова инфраструктура или услуги за други организации?
Това включва управлявани ИТ услуги или услуги по сигурност, облачен хостинг, управление на мрежи, дейта центрове или критични софтуерни платформи.
Би ли засегнало значително прекъсване на услугите ви обществената безопасност, икономиката или други критични услуги?
Помислете за ефекта надолу по веригата. Регулаторите вземат това предвид, когато преценяват дали по-малки организации все пак попадат в обхвата.
Организацията ви вероятно попада в обхвата като съществен субект.
Съществените субекти носят най-строгите задължения по NIS2 и подлежат на проактивен надзор — тоест регулаторите могат да ви одитират по всяко време, без да чакат инцидент. Ръководството може да носи лична отговорност за нарушения.
- Максимална глоба: €10 милиона или 2% от глобалния годишен оборот
- Проактивен (предварителен) надзор от CERT Bulgaria и ДАНС
- Задължително докладване на инциденти: ранно предупреждение до 24 часа, пълен доклад до 72 часа
- Отговорност на висшето ръководство — прилага се лична отговорност
Този инструмент дава ориентировъчна оценка въз основа на Директивата NIS2, транспонирана в българското законодателство (в сила от 17 февруари 2026 г.). Не представлява правен съвет. Сънуел Солюшънс препоръчва да потвърдите задълженията си за съответствие с квалифициран юрист или консултант по съответствие.
Организацията ви вероятно попада в обхвата като важен субект.
Важните субекти трябва да изпълняват същите основни задължения за сигурност по NIS2 като съществените. Основната разлика е в стила на надзор — подлежите на реактивен надзор, тоест регулаторите обикновено действат след инцидент или жалба, вместо да провеждат внезапни одити.
- Максимална глоба: €7 милиона или 1,4% от глобалния годишен оборот
- Реактивен (последващ) надзор — но глобите все пак са значителни
- Същите задължения за докладване: важат сроковете от 24 и 72 часа
- Трябва да бъдат покрити и шестте области на задължения
Този инструмент дава ориентировъчна оценка въз основа на Директивата NIS2, транспонирана в българското законодателство (в сила от 17 февруари 2026 г.). Не представлява правен съвет. Сънуел Солюшънс препоръчва да потвърдите задълженията си за съответствие с квалифициран юрист или консултант по съответствие.
Организацията ви изглежда е извън обхвата на NIS2.
Според отговорите ви NIS2 не изглежда да се прилага пряко за организацията ви. Все пак може да сте засегнати косвено — ако клиентите или доставчиците ви са в обхвата, те може да изискват гаранции за сигурност от вас като част от задълженията си по веригата на доставки.
- Правилата на NIS2 за веригата на доставки означават, че клиенти в обхвата може да поискат вашето ниво на сигурност
- Добрите практики по киберсигурност остават важни, независимо от регулаторния обхват
- Статусът ви спрямо обхвата трябва да се преразгледа, ако секторът, размерът или услугите ви се променят
Този инструмент дава ориентировъчна оценка въз основа на Директивата NIS2, транспонирана в българското законодателство (в сила от 17 февруари 2026 г.). Не представлява правен съвет. Сънуел Солюшънс препоръчва да потвърдите задълженията си за съответствие с квалифициран юрист или консултант по съответствие.
Въпросник за готовност
Колко подготвена е организацията ви?
Отговорете на 15 въпроса в шест области на задължения по NIS2. Резултатите се появяват веднага — не е нужна регистрация, за да видите оценката си.
Вашите резултати
Обобщение на готовността по NIS2
Въз основа на самооценката ви по всичките шест области на задължения по NIS2.
Пълен доклад за пропуските
Получете подробния си анализ на пропуските
Въведете данните си и персонализираният ви доклад се появява веднага на екрана. Ще изпратим копие и на имейла ви.
Нещо се обърка — моля, опитайте отново.
Ключови дати
Хронология
Януари 2023 г.
Директивата NIS2 влезе в сила (ЕС)
Публикувана в Официален вестник на Европейския съюз.
Октомври 2024 г.
Краен срок за транспониране в ЕС
Държавите членки трябваше да транспонират NIS2 в националното си законодателство до тази дата.
17 февруари 2026 г.
В сила в България
СЕГАЗадълженията по NIS2 са приложими. Организациите в обхвата трябва да спазват изискванията.
Текущо
Започват прилагане и надзор
ДАНС и CERT Bulgaria започват активен надзор. Прилагат се одити, проследяване на инциденти и санкции.
Разберете дали организацията ви е в обхвата
Отговорете на 5 кратки въпроса — отнема под 2 минути.
Проверете обхвата сиТърсите повече детайли? Разгледайте нашите NIS2 ръководства, въпроси и официални източници →