Блог · Киберсигурност · 9 мин четене

NIS2 в България: какво изисква новият Закон за киберсигурност

В сила от 17 февруари 2026 г. — за много български компании това е първата среща със задължителна регулация на киберсигурността.

След продължително забавяне спрямо европейския срок, Народното събрание прие измененията в Закона за киберсигурност на 5 февруари 2026 г. Те бяха обнародвани в Държавен вестник на 13 февруари и влязоха в сила на 17 февруари 2026 г. С тях директивата NIS2 официално стана част от българското право — и киберсигурността от «IT тема» се превърна в законово задължение на ръководството.

Кой попада в обхвата

Законът разделя организациите на съществени и важни субекти. Обхватът е значително по-широк от преди: освен енергетика, транспорт, банки, здравеопазване и водоснабдяване, вече включва и управление на отпадъци, електронни съобщения, производство и дистрибуция на храни, центрове за данни, доставчици на ИКТ услуги и публичната администрация. Хиляди български компании попадат в регулация за първи път.

Важен нюанс: дори да не сте директно в списъка, ако сте доставчик на регулиран субект, изискванията стигат до вас през веригата на доставки — вашите клиенти ще изискват от вас доказуеми мерки за сигурност.

Основните задължения

Управление на риска. Субектите трябва да прилагат подходящи технически, оперативни и организационни мерки: политики за риск и инциденти, непрекъснатост на бизнеса, сигурност на веригата на доставки, киберхигиена и обучения, криптиране и контрол на достъпа.

Лична отговорност на ръководството. Управителните органи одобряват и надзирават мерките — и подлежат на обучение по киберсигурност на всеки две години. Отговорността вече не може да се «делегира на IT».

Докладване на инциденти в строги срокове:

24ч
ранно предупреждение
72ч
детайлно уведомление
30д
финален доклад

Какво става при неспазване

Санкционният режим следва европейския модел с многостепенни глоби, а надзорните органи получават разширени правомощия — включително периодични санкции. Но по-важният риск за повечето компании не е глобата, а операционният: инцидент без готовност означава дни престой, загубени данни и загубено доверие.

Практичен съвет

Не чакайте формално определяне като субект. Направете обхватна оценка сега: попадате ли в секторите, какъв е размерът ви, кои клиенти ще изискват съответствие от вас. Подготовката отнема месеци — определянето може да дойде по-бързо.

Как да се подготвите — петте стъпки

1) Определете дали и как попадате в обхвата. 2) Направете одит на текущото състояние спрямо изискванията. 3) Затворете пропуските — MFA, резервни копия, контрол на достъпа, политики. 4) Изгответе план за реакция при инциденти със сроковете 24ч/72ч/30д. 5) Обучете ръководството и екипа, и въведете постоянен мониторинг.

Пълния път към съответствие сме описали на страницата Киберсигурност — одит и защита на данни.

Често задавани въпроси

Кога влезе в сила NIS2 в България?

Измененията в Закона за киберсигурност бяха приети на 5 февруари 2026 г., обнародвани на 13 февруари и влязоха в сила на 17 февруари 2026 г.

Малка фирма сме — засяга ли ни?

Директно — само ако сте в регулиран сектор и над праговете. Индиректно — да, ако обслужвате регулирани клиенти: те ще изискват мерки от доставчиците си.

Откъде да започнем?

С обхватна оценка и одит на пропуските (gap analysis) — той показва точно какво ви липсва и в какъв ред да го изградите.

Готови ли сте за NIS2?

Заявете одит — ще покажем пропуските и плана за съответствие.

Заявете одит →
Blog · Cybersecurity · 9 min read

NIS2 in Bulgaria: what the new Cybersecurity Act requires

In force since 17 February 2026 — for many Bulgarian companies this is their first encounter with mandatory cybersecurity regulation.

After a lengthy delay against the European deadline, the National Assembly adopted the amendments to the Cybersecurity Act on 5 February 2026. They were promulgated in the State Gazette on 13 February and entered into force on 17 February 2026. With them, the NIS2 directive officially became part of Bulgarian law — and cybersecurity went from being an "IT topic" to a legal obligation of management.

Who falls within the scope

The law divides organisations into essential and important entities. The scope is significantly broader than before: in addition to energy, transport, banking, healthcare and water supply, it now also covers waste management, electronic communications, food production and distribution, data centres, ICT service providers and public administration. Thousands of Bulgarian companies fall under regulation for the first time.

An important nuance: even if you are not directly on the list, if you are a supplier to a regulated entity, the requirements reach you through the supply chain — your clients will demand demonstrable security measures from you.

The core obligations

Risk management. Entities must apply appropriate technical, operational and organisational measures: risk and incident policies, business continuity, supply-chain security, cyber hygiene and training, encryption and access control.

Personal accountability of management. Governing bodies approve and oversee the measures — and must undergo cybersecurity training every two years. Responsibility can no longer be "delegated to IT".

Incident reporting within strict deadlines:

24h
early warning
72h
detailed notification
30d
final report

What happens in case of non-compliance

The sanctions regime follows the European model with tiered fines, and the supervisory authorities gain expanded powers — including periodic penalties. But the more important risk for most companies is not the fine, but the operational one: an incident without readiness means days of downtime, lost data and lost trust.

Practical advice

Don't wait for a formal designation as an entity. Carry out a scoping assessment now: do you fall within the sectors, what is your size, which clients will require compliance from you. Preparation takes months — the designation may come sooner.

How to prepare — the five steps

1) Determine whether and how you fall within the scope. 2) Carry out an audit of your current state against the requirements. 3) Close the gaps — MFA, backups, access control, policies. 4) Prepare an incident response plan with the 24h/72h/30d deadlines. 5) Train management and the team, and put continuous monitoring in place.

We describe the full path to compliance on the page Cybersecurity — audit and data protection.

Frequently asked questions

When did NIS2 enter into force in Bulgaria?

The amendments to the Cybersecurity Act were adopted on 5 February 2026, promulgated on 13 February and entered into force on 17 February 2026.

We're a small company — does it affect us?

Directly — only if you are in a regulated sector and above the thresholds. Indirectly — yes, if you serve regulated clients: they will require measures from their suppliers.

Where should we start?

With a scoping assessment and a gap analysis — it shows exactly what you are missing and in what order to build it.

Are you ready for NIS2?

Request an audit — we'll show the gaps and the compliance plan.

Request an audit →