България прие ключови промени в Закона за киберсигурност. Какво означава това на практика за бизнеса и доставчиците на ИКТ услуги
Дата: 5 февруари 2026 г.
Българският парламент прие на второ четене изменения в Закона за киберсигурност, с които националната рамка се привежда в съответствие с изискванията на Директива (ЕС) 2022/2555, известна като NIS2. Решението идва след продължителен период на забавяне и поставя страната в активна фаза на надзор и прилагане, вместо формално планиране.
Макар процесът по транспониране да закъсня спрямо първоначалния европейски срок (17 октомври 2024 г.), приетите промени ясно показват, че фокусът вече се измества към реална оперативна готовност и отчетност.
Какво реално се променя
С измененията значително се разширява обхватът на регулираните субекти. Освен държавни и общински органи, в закона вече попадат широк кръг публични и частни организации, включително доставчици на ИКТ услуги, регистратори на домейни, образователни и научноизследователски институции с критична дейност, както и органи на съдебната власт.
Секторите, обхванати от регулацията, нарастват от осем на осемнадесет. Това включва не само традиционна критична инфраструктура, но и области като производство, пощенски и куриерски услуги, управление на отпадъци, хранителна и химическа индустрия, цифрови услуги и научни изследвания.
Законът въвежда и по-строги изисквания за докладване на инциденти. Значим инцидент трябва да бъде докладван в рамките на 24 часа след установяване, с последваща актуализация до 72 часа и окончателен доклад до един месец. Това поставя високи изисквания към процесите по откриване, ескалация и анализ на инциденти.
Ограничаване на рискови технологии и вериги на доставка
Един от най-съществените елементи в новите текстове е възможността Министерският съвет, по предложение на Съвета по киберсигурността, да въвежда ограничения върху използването на конкретни ИКТ технологии, продукти или услуги, включително такива с произход извън ЕС.
Организациите, които вече използват ограничени технологии, ще разполагат с преходен период до три години за тяхното извеждане от употреба, като при висок риск за националната сигурност срокът може да бъде съкратен. Това директно засяга стратегически решения за ИТ архитектура, доставчици и дългосрочни договори.
Какво означава това за бизнеса и MSP екосистемата
За бизнеса новият закон означава, че киберсигурността вече не е само ИТ тема, а управленски и договорен въпрос. Необходима е ясна картина на активи, зависимости, доставчици и процеси, както и способност за непрекъснато наблюдение и документиране на сигурността.
За MSP и MSSP доставчиците това променя очакванията на клиентите. Услугите по поддръжка и сигурност все по-често ще трябва да включват:
доказуема 24/7 оперативна способност
ясни процеси за инцидентно реагиране и докладване
прозрачност по веригата на доставки
готовност за регулаторни проверки и одити
MSP моделите, които разчитат единствено на реактивна поддръжка или ограничено работно време, ще срещнат сериозни затруднения да отговорят на новите изисквания.
DIAMATIX Perspective
От практическа гледна точка, тези промени не въвеждат „нова“ киберсигурност. Те формализират това, което регулаторите вече очакват. Непрекъсната видимост, измерима реакция и ясно разпределение на отговорностите.
Организациите, които третират NIS2 като еднократен проект или документна задача, ще се сблъскат с проблеми при първите проверки или инциденти. Тези, които изградят устойчив оперативен модел – с постоянен мониторинг, дефинирани процеси и ясна роля на външните доставчици – ще преминат през enforcement фазата с по-малък риск и по-добър контрол.
За MSP екосистемата това е момент на преоценка. Не на инструментите, а на начина, по който сигурността се управлява ежедневно.
Update – Законът вече е в сила. Какво означава това на практика
С обнародването на промените в Държавен вестник България официално транспонира Директива (ЕС) 2022/2555 (NIS2) и преминава от фаза на политически дебат към реална регулаторна рамка с изпълними задължения.
Това не е просто формално изменение. Законът:
• Разширява обхвата до 18 сектора
• Въвежда категоризация на „съществени“ и „важни“ субекти
• Налага 24-часово първично уведомяване при значим инцидент
• Въвежда управленска отговорност на ниво ръководство
• Позволява ограничаване на технологии и вериги на доставка при повишен риск
Регулаторният фокус вече е върху реална оценка на риска, устойчивост на веригите на доставки и доказуеми процеси за управление на инциденти.
България беше сред последните държави в ЕС по транспониране на NIS2, но сега влиза в enforcement фаза. Това означава активен надзор и очакване за структурирана готовност, а не декларативно съответствие.
Какво означава това за бизнеса
Организациите трябва да:
• Мапнат всички критични ИКТ активи и процеси
• Определят дали попадат в категория „съществен“ или „важен“ субект
• Изградят или актуализират процес за 24/72-часово докладване
• Направят оценка на риска по веригата на доставки
• Осигурят управленска отчетност и вътрешен контрол
До края на 2026 г. от компаниите се очаква реална структурна готовност, а не само формално покриване на изисквания.
Какво означава това за MSP и доставчици на ИКТ услуги
MSP вече не са само технологични партньори. Те стават част от регулаторната рамка на своите клиенти.
Това означава:
• Договорна яснота за отговорности при инциденти
• Документирани процеси за мониторинг и реакция
• Доказуема оперативна способност
• Прозрачност по отношение на използваните технологии и вериги на доставка
MSP, които могат да покажат структуриран модел на управление на инциденти и риск, ще имат конкурентно предимство.
DIAMATIX Perspective
Законът не е просто регулация. Той променя логиката на киберсигурността в България.
Фокусът се измества от технически контрол към управленска отчетност и доказуема устойчивост.
Компаниите, които възприемат NIS2 като стратегическа трансформация, а не като административна тежест, ще изградят по-стабилни структури. Тези, които отложат адаптацията, ще бъдат поставени под регулаторен натиск.
Enforcement фазата вече започна. Въпросът не е дали законът ще се прилага, а колко подготвени ще бъдат организациите.
Заключение
С приетите промени България прави решителна крачка от закъсняло транспониране към реално прилагане на NIS2. Следващите месеци ще покажат кои организации са готови да докажат контрол и устойчивост, и кои тепърва ще наваксват под регулаторен натиск.
Свързан ресурс
За по-широк контекст относно връзката между NIS2, ISO 27001, DORA и GDPR в рамките на ЕС, виж и нашия анализ:
ISO 27001, NIS2, DORA и GDPR. Картата на киберсигурността в ЕС
МИС2 в България: какво означават измененията в Закона за киберсигурност през 2026 г.
Използвани източници
Народно събрание на Република България. Пленарни решения и законодателни промени
Директива (ЕС) 2022/2555 (NIS2)
Европейска комисия. Данни за транспониране и enforcement на NIS2
Български национални медии, 5 февруари 2026 г.
Получавайте актуални новини и експертни анализи за киберсигурност
