Ръководства, чеклисти и официални източници

NIS1 (2016) обхващаше тесен кръг оператори. NIS2 разширява значително обхвата — покрива много повече сектори и премахва праговете, които освобождаваха повечето средни предприятия. Освен това увеличава съществено санкциите, въвежда отговорност на ръководството и затяга сроковете за докладване на инциденти. Ако организацията ви не е попадала в обхвата на NIS1, спокойно може да попада в този на NIS2.

Два органа. CERT Bulgaria (националният CSIRT към Държавна агенция „Електронно управление") е основната точка за контакт при уведомления за инциденти. ДАНС (Държавна агенция „Национална сигурност") е компетентният надзорен орган, особено за съществените субекти. Някои секторни регулатори (енергетика, финанси) също може да имат надзорни функции.

Да — ако организацията ви обработва лични данни и попада в обхвата на NIS2, важат и двете рамки. Те се припокриват значително — и двете изискват базирана на риска сигурност, реакция при инциденти и отговорност на ръководството. Добре структурирана NIS2 програма ще покрие едновременно много от изискванията за сигурност на GDPR. Ключовата разлика: GDPR защитава личните данни; NIS2 покрива по-широко сигурността на мрежите и информационните системи.

Да, при определени обстоятелства. NIS2 може да се прилага за организации, установени извън ЕС, ако предоставят услуги в рамките на ЕС. Ако компания извън ЕС предоставя услуги на български клиенти или оперира покрита инфраструктура в България, може да се наложи да определи правен представител в ЕС и да спазва съответните задължения.

И двата вида трябва да изпълняват едни и същи основни задължения. Разликата е в надзора. Съществените субекти (сектори с висока критичност, 250+ служители или над €50 млн. оборот) подлежат на проактивен (предварителен) надзор — одити по всяко време. Важните субекти подлежат на реактивен (последващ) надзор — регулаторите действат след инцидент или жалба. Санкциите също се различават: до €10 млн. или 2% от оборота за съществени, €7 млн. или 1,4% за важни.

NIS2 по принцип изключва микро- и малките предприятия (под 50 служители и под €10 млн. оборот), освен ако не оперират в особено критични области. Изключения са мрежите за електронни съобщения, доставчиците на удостоверителни услуги, регистрите на домейни от първо ниво (TLD) и DNS доставчиците — в обхват независимо от размера. Единствени доставчици на услуги, критични за обществото, също може да бъдат включени от националните органи.

Двуетапен срок от момента, в който узнаете. Ранно предупреждение до CERT Bulgaria в рамките на 24 часа — без пълен анализ, само уведомление, че има инцидент. Пълно уведомление за инцидента в рамките на 72 часа, включително първоначална оценка на тежестта и индикатори за компрометиране. Окончателен доклад в рамките на един месец с първопричина и предприети мерки.

Инцидентът е значим, ако причинява или може да причини сериозно оперативно нарушение или финансова загуба, или може да нанесе значителни щети на други. На практика: сериозен ransomware, продължителни прекъсвания, значими пробиви в данните или атаки срещу критична инфраструктура. При съмнение — уведомете; закъсняло или пропуснато докладване се третира по-сериозно от прекалено предпазливо ранно предупреждение.

Не пряко — NIS2 не налага задължения на доставчиците, освен ако самите те не са в обхвата. Вие обаче отговаряте за управлението на рисковете за киберсигурността във веригата на доставки. Това означава да оценявате практиките за сигурност на ключовите си доставчици, да включвате изисквания за сигурност в съответните договори и да доказвате, че този риск е адресиран в цялостния ви подход за управление на риска.

NIS2 е в сила в България от 17 февруари 2026 г. — няма допълнителен гратисен период. Регулаторите дадоха знак за прагматичен подход към организациите, които активно и добросъвестно работят към съответствие. Най-висок риск има за организациите, които не са предприели нищо или не докладват значим инцидент. Приоритет: документирайте текущото си състояние, идентифицирайте най-големите пропуски и изградете план за отстраняване, който можете да покажете на регулатор.