Чеклист за подготовка преди NIS2 одит

Сънуел Солюшънс · Базиран на Директивата NIS2, транспонирана в българското законодателство (в сила от 17 февруари 2026 г.)

Уточнение: Този чеклист е само за целите на подготовката и не представлява правен съвет. Потвърдете конкретните си задължения с квалифициран правен или съответен консултант.

Управление и политики

Документирана политика за киберсигурност, официално одобрена и подписана от висшето ръководство

[И двата]

Разпределени роли и отговорности по киберсигурност — конкретни лица, не само длъжности

[И двата]

Протоколи от заседания на ръководството, показващи, че киберсигурността е обсъждана и преглеждана

[Съществени]

Запис за обучение по киберсигурност, преминато от висшето ръководство през последните 12 месеца

[И двата]

Управление на риска

Актуален регистър на рисковете, обхващащ рисковете за киберсигурността, с определени отговорници

[И двата]

Доказателство за формална оценка на риска, извършена през последните 12 месеца

[И двата]

Документация на процеса за управление на уязвимости и доказателства за скорошни сканирания

[И двата]

Запис как мерките за сигурност се преразглеждат след промени в инфраструктурата или заплахите

[Съществени]

Реакция при инциденти

Документиран план за реакция при инциденти, включващ стъпки за откриване, ограничаване и възстановяване

[И двата]

Доказателство за тестване на плана за реакция (симулационно или реално) през последните 12 месеца

[И двата]

Документирани контакт за уведомяване на CERT Bulgaria и работен процес за докладване в срок 24/72 часа

[И двата]

Политика за съхранение на логове и доказателство за внедрено централизирано логване

[Съществени]

Верига на доставки

Регистър на критичните технологични доставчици и доставчици на услуги

[И двата]

Доказателство за оценки на сигурността или въпросници, попълнени за ключови доставчици

[И двата]

Договори с критични доставчици, съдържащи изисквания за киберсигурност или SLA

[Съществени]

Контрол на достъпа и технически мерки

Наложена MFA на всички административни и привилегировани акаунти — доказателство за конфигурацията

[И двата]

Преглед на достъпа през последните 6 месеца — доказателство, че се прилага принципът на минимални права

[И двата]

Документация за мрежова сегментация, показваща отделяне на критичните системи

[Съществени]

Политика за криптиране, обхващаща данните в покой и при пренос

[И двата]

Непрекъснатост на бизнеса

Документирани процедури за архивиране и възстановяване с дефинирани цели RTO и RPO

[И двата]

Доказателство за тест на възстановяване от архив през последните 12 месеца

[И двата]

План за непрекъснатост на бизнеса, обхващащ сценарии за киберинциденти, с определени кризисни контакти

[И двата]

План за кризисна комуникация — кой се уведомява вътрешно и външно по време на инцидент

[Съществени]