Безплатна оценка дали Вашата организация попада в обхвата на Директива NIS2 и какво трябва да направите
Започнете безплатна оценкаДирективата NIS2 е европейско законодателство за киберсигурност, което значително разширява изискванията към бизнеса
NIS2 е транспонирана в българското законодателство чрез Закона за киберсигурност. Влезе в сила на 17 февруари 2026 г. Неспазването води до сериозни санкции.
Средни и големи предприятия (50+ служители или 10+ млн. EUR оборот) в 15+ критични сектора. Някои организации попадат независимо от размера.
Ръководителите носят лична отговорност за изпълнението на мерките за киберсигурност. Глоби от 500 до 5000 лв. и възможна забрана за заемане на ръководни позиции.
Редовни оценки на риска и внедряване на подходящи мерки за сигурност
24 часа ранно предупреждение, 72 часа пълно уведомление, 30 дни финален доклад
Оценка и управление на рисковете от доставчици и партньори
Многофакторна автентикация и криптиране на чувствителни данни
Ръководството одобрява мерките и носи лична отговорност
Регулярни обучения по киберсигурност за всички нива в организацията
или 2% от глобалния годишен оборот (по-високата стойност)
или 1.4% от глобалния годишен оборот (по-високата стойност)
глоби за ръководители + възможна забрана за заемане на ръководни функции
Разберете за 2 минути дали вашата организация попада в обхвата на NIS2 и каква е текущата ви готовност
Изберете сектора и размера на вашата организация
Отговорете на 10 въпроса за вашата текуща киберсигурност
Имате ли документирана политика за информационна сигурност?
Провеждате ли регулярни оценки на риска?
Имате ли план за реакция при инциденти?
Използвате ли многофакторна автентикация (MFA)?
Имате ли политика за backup и възстановяване?
Провеждате ли обучения по киберсигурност за служителите?
Оценявате ли киберсигурността на вашите доставчици?
Имате ли определено отговорно лице за киберсигурност?
Криптирате ли чувствителни данни при пренос и съхранение?
Имате ли система за логване и мониторинг на събития?
Оставете данни за връзка, за да получите детайлен доклад (незадължително)
Анализираме вашите данни...
Комплексни решения за постигане и поддържане на NIS2 съответствие
DIY Compliance Kit
Пълно внедряване
Ongoing Compliance
По принцип, NIS2 обхваща средни предприятия (50+ служители или 10+ млн. EUR оборот) и големи предприятия. Компании с под 50 служители обикновено не попадат в обхвата. Важно изключение: доставчици на цифрова инфраструктура (DNS, TLD, облачни услуги, дата центрове) попадат независимо от размера. Също така, ако сте ключов доставчик на организация в обхвата на NIS2, може да бъдете засегнати индиректно чрез изискванията за сигурност на веригата за доставки.
Законът за киберсигурност, транспониращ NIS2 в българското законодателство, беше приет на 5 февруари 2026 г. и влезе в сила на 17 февруари 2026 г. Организациите трябва да започнат незабавно с привеждане в съответствие. Регистрацията в CERT България и първоначалната самооценка трябва да бъдат завършени в рамките на определените срокове след влизането в сила.
Санкциите при неспазване са сериозни. За съществени субекти глобите могат да достигнат 10 млн. EUR или 2% от глобалния годишен оборот. За важни субекти — до 7 млн. EUR или 1.4%. Освен това, ръководителите носят лична отговорност с глоби от 500 до 5000 лв. и възможна забрана за заемане на ръководни функции. Надзорните органи могат да извършват проверки и да налагат задължителни мерки.
Съществени субекти са големи организации (250+ служители или 50+ млн. EUR оборот) в критични сектори (енергетика, транспорт, банки, здравеопазване, водоснабдяване, цифрова инфраструктура). Те подлежат на проактивен надзор и по-високи глоби. Важни субекти са средни организации в критични сектори или организации в другите обхванати сектори. Те подлежат на реактивен надзор (след инцидент). И двата типа имат еднакви задължения за киберсигурност.
NIS2 не изисква изрично назначаването на CISO, но изисква ясно определени отговорности за киберсигурността на ниво ръководство. Ръководният орган (борд на директорите/управители) трябва да одобри мерките за управление на рисковете и да следи за тяхното изпълнение. Практически, повечето организации назначават отговорно лице или използват услуга CISO-as-a-Service.
При значителен инцидент в киберсигурността, NIS2 изисква три нива на докладване: 1) Ранно предупреждение до CERT/CSIRT в рамките на 24 часа от откриването. 2) Пълно уведомление с оценка на въздействието в рамките на 72 часа. 3) Финален доклад с детайлен анализ, причини и предприети мерки в рамките на 30 дни. Неспазването на тези срокове е нарушение.
NIS2 въвежда изисквания за сигурност на веригата за доставки. Организациите трябва да оценяват киберсигурността на своите ключови доставчици, да включват изисквания за сигурност в договорите и да следят за тяхното спазване. Това означава, че дори ако вашият доставчик не попада директно в обхвата на NIS2, той може да бъде засегнат индиректно чрез договорни изисквания от клиентите си.
ISO 27001 е отлична основа и покрива голяма част от техническите изисквания на NIS2. Въпреки това, NIS2 има допълнителни специфични изисквания, като: задължително докладване на инциденти в строги срокове (24ч/72ч/30 дни), лична отговорност на ръководството, специфични изисквания за веригата на доставки и регистрация в национален CSIRT. Ако имате ISO 27001, вече сте на 60-70% от пътя. Препоръчваме gap анализ за идентифициране на оставащите изисквания.
Свържете се с нашия екип за безплатна първоначална консултация. Ще ви помогнем да разберете точно какво трябва да направите.