Contacts
+359 875 32 80 30
Book a Meet
Close

Контакти

Каварна, България
Рияд, Саудитска Арабия

+359 875 328030

sales@diamatix.com

Contacts

Bulgaria, Kavarna
Saudi Arabia, Riyadh

+359 875 328030

sales@diamatix.com

Call us: +359 875 32 80 30
Scan for Breaches
Сканирай за пробиви
Book a Meet
Book a Meet

МИС2 в България: какво означават измененията в Закона за киберсигурност през 2026 г.

nis2 23.01.2026
февруари 18, 2026
Pavlina Nikolova
БлогРегулации и съответствие

МИС2 в България през 2026 г.

Не технологичен регламент, а  регламент за управленска отговорност.

TL;DR

ПромянаКакво означава
МИС2 е въведена чрез изменения в Закона за киберсигурностИзискванията вече са част от националната правна рамка
Обхватът включва 18 сектораЗначително повече организации попадат под регулация
Въвеждат се „съществени“ и „важни“ субектиРазличен надзор и различни санкционни прагове
24-часово уведомяванеИзисква реален мониторинг и ясна ескалация
Формализирана управленска отговорностРъководството носи пряка отчетност

МИС2 не създава нови технологии.
Тя създава нови очаквания към начина, по който сигурността се управлява.

Какво се промени законодателно

С публикуването на измененията в Закона за киберсигурност през февруари 2026 г. България официално транспонира Директива (ЕС) 2022/2555.

Това не е отделен „МИС2 закон“.
Това е разширена и структурирана национална рамка.

Същественото е, че регулацията вече изисква сигурността да бъде:

  • непрекъсната

  • измерима

  • документирана

  • управлявана на ниво ръководство

Фокусът се измества от „имаме ли инструменти“ към
„работят ли процесите ни под натиск“.

18 сектора под регулаторен обхват

Законът вече обхваща 18 сектора, сред които:

  • Енергетика

  • Транспорт

  • Финансов сектор и банкови услуги

  • Здравеопазване

  • Питейна и отпадъчни води

  • Цифрова инфраструктура

  • Публична администрация

  • ИКТ услуги

  • Производство на критични продукти

  • Пощенски и куриерски услуги

  • Хранителна индустрия

  • Управление на отпадъци

  • Химическа индустрия

  • Доставчици на цифрови услуги

Това означава, че организации, които досега са били извън пряк регулаторен фокус, вече попадат в обхвата.

„Съществени“ и „важни“ субекти

Новото разделение не е формално. То определя нивото на надзор и санкции.

Съществени субекти

Обикновено големи предприятия в критични сектори.
Подлежат на проактивен контрол и по-строги проверки.

Санкциите могат да достигнат:

  • до 10 млн. евро

  • или до 2% от глобалния годишен оборот

Важни субекти

Организации със значима икономическа роля, но извън най-критичните категории.

Санкционният праг достига:

  • до 7 млн. евро

  • или до 1.4% от оборота

Изискванията към управлението на риска обаче остават сходни.

Санкциите са съобразени с праговете, въведени от НИС2, които достигат до 10 млн. евро или 2% от глобалния годишен оборот за съществени субекти.

24 часа са тест за структура

Първоначалното уведомяване в рамките на 24 часа означава:

  • средата трябва да се наблюдава непрекъснато

  • инцидентът трябва да бъде открит навреме

  • ролите трябва да бъдат дефинирани

  • действията трябва да бъдат документирани

Ако няма централизирана видимост, времето за откриване се увеличава.
Ако ескалацията е неясна, реакцията се забавя.
Ако логовете са фрагментирани, доказването става проблем.

Регламентът прави тези слабости видими.

Управленска отчетност

НИС2 формализира отговорността на ръководството за управлението на киберриска.

Това означава:

  • регулярни доклади към борда

  • документално оценяване на риска

  • измерими показатели

  • преглед и актуализация на контроли

Киберсигурността вече не е само техническа функция.
Тя е част от корпоративното управление.

Какво ще проверяват регулаторите

През 2026 г. контролът вероятно ще бъде фокусиран върху:

  • реално време за откриване и реакция

  • тестове на планове за възстановяване

  • документирани процедури

  • обучение на управленско ниво

  • доказуема проследимост на действията

Регулацията ще се измерва чрез поведение на системата при инцидент.

Какво означава това за организациите през 2026 г.

През 2026 г. организациите ще бъдат поставени под регулаторен натиск, който не може да бъде покрит с еднократни проекти.

Необходим е устойчив оперативен модел:

  • централизирана видимост

  • непрекъснат мониторинг

  • ясна ескалация

  • документално управление на риска

  • отчетност към ръководството

Организациите, които вече са структурирали сигурността си като процес, ще преминат през този етап спокойно.

Тези, които разчитат на отделни инструменти без интеграция и 24/7 наблюдение, ще бъдат принудени да преструктурират средата си в движение.

НИС2 не е технологичен регламент.
Тя е регламент за управленска отговорност.

Предстоящ уебинар за общини

В тази връзка DIAMATIX ще проведе специализиран уебинар, насочен към общини и публични организации, където ще разгледаме:

  • обхвата на измененията за местната администрация

  • оперативните изисквания към общинските ИТ структури

  • практичен модел за структуриране на мониторинг и ескалация

Предстоят и тематични сесии за други регулирани сектори през 2026 г.

Trusted · Innovative · Vigilant.

Свържете се с DIAMATIX

Абонирайте се за най-новите актуализации и анализи

Получавайте актуални новини и експертни анализи за киберсигурност

Please enable JavaScript in your browser to complete this form.

By Pavlina Nikolova

Recent Posts

68800
май 7, 2026
Pavlina Nikolova

Масивна DDoS кампания показва как разпределените атаки заобикалят традиционните rate limits

Новини
Read More
3
май 7, 2026
Pavlina Nikolova

DIAMATIX ще участва в ХХXVI Общо събрание на Националната асоциация на секретарите на общини в Република България

НовиниСъбития
Read More
AI Strategy and Consulting

Provide expert guidance on developing an AI strategy

Recent comments
Няма коментари за показване.
май 2026
П В С Ч П С Н
 123
45678910
11121314151617
18192021222324
25262728293031