
NIS2 е една от най-важните промени в европейската киберсигурност за последните години. Директивата цели по-високо и по-еднакво ниво на защита в ЕС, но за бизнеса най-важният въпрос е практичен: дали фирмата попада в обхвата, какви мерки трябва да въведе и как ще докаже, че ги управлява.
В България темата стана особено актуална през 2026 г., след като бяха приети промени в Закона за киберсигурност, с които се транспонират изискванията на NIS2. Това означава, че за засегнатите компании задълженията вече не са далечна европейска рамка, а част от националното законодателство.
NIS2 заменя по-стария режим NIS1 и разширява значително обхвата. Ако преди фокусът беше върху по-тесен кръг оператори на съществени услуги и доставчици на цифрови услуги, сега регулацията обхваща много повече сектори, организации и вериги на доставки.
Първото действие за всяка фирма е оценка на обхвата (scope assessment). Това е проверка дали компанията попада в обхвата на закона като съществен или важен субект. Тук се гледат сектор, размер, вид услуги, роля във веригата на доставки и дали дейността е критична за други организации.
Типично засегнати могат да бъдат организации от енергетика, транспорт, здравеопазване, вода, цифрова инфраструктура, ICT услуги, cloud и data center услуги, публична администрация, пощенски и куриерски услуги, управление на отпадъци, производство и дистрибуция на храни, химикали, някои производствени предприятия и изследователски организации.
Не всяка малка фирма автоматично попада в NIS2, но много доставчици ще бъдат засегнати косвено. Ако работите с голям клиент от регулиран сектор, той може да изиска от вас по-високо ниво на киберсигурност, договорни гаранции, доказателства за контрол и по-добра реакция при инцидент.
NIS2 не е само IT проект. Това е управленски, организационен и технически процес. Директивата и националните правила поставят отговорност върху управлението, защото киберрисковете вече се разглеждат като част от бизнес риска, а не като проблем само на системния администратор.
Ръководните органи трябва да одобряват и наблюдават мерките за управление на риска. В българския контекст се обсъждат и изисквания за обучения на управлението и служителите. Това е важна промяна: фирмата трябва да покаже не само че има инструменти, а че има процес, контрол и ясно разпределени отговорности.
Член 21 на NIS2 е централната част за мерките. Той говори за подходящи и пропорционални технически, оперативни и организационни мерки. Думата “пропорционални” е важна: не всяка фирма трябва да има еднаква инфраструктура, но всяка засегната фирма трябва да може да обясни защо избраните мерки отговарят на риска.
Първата група мерки е политика за анализ на риска и сигурност на информационните системи. На практика това означава инвентаризация на активи, оценка на критични услуги, класификация на данни, анализ на заплахи, оценка на вероятност и въздействие, и план как рискът се намалява.
Втората група е управление на инциденти. Фирмата трябва да има процедура кой приема сигнал, кой оценява сериозността, кой взема решение, как се ограничава инцидентът, как се събират доказателства, кога се уведомява компетентният орган и как се комуникира с клиенти и партньори.
Сроковете за докладване са строги. NIS2 въвежда ранно предупреждение в рамките на 24 часа от узнаването за значим инцидент, последващо уведомление до 72 часа с първоначална оценка, и финален доклад в рамките на около един месец. Това означава, че фирмата трябва да знае какво е “значим инцидент” преди проблемът да се случи.
Тези срокове са трудни без предварителна подготовка. Ако няма логове, списък на системите, отговорни лица, процедура за ескалация и техническа възможност за анализ, първите 24 часа минават в хаос. Затова консултацията преди инцидент е много по-ценна от реакцията след него.
Третата група мерки е бизнес непрекъсваемост и възстановяване. Тук влизат backup, disaster recovery, crisis management и планове за работа при отказ на системи. Свързано е не само със сървъри, а с целия бизнес процес: кои услуги трябва да тръгнат първи, колко данни може да се загубят и как се връща работата.
Практическият въпрос е дали фирмата има реално тестван backup. Ако резервното копие никога не е възстановявано, то не е доказана защита. Затова NIS2 подготовката трябва да включва тестове, протоколи и ясен план за възстановяване, а не само твърдение, че “има архив”.
Supply chain security е една от големите промени. Фирмите трябва да гледат не само собствените си системи, а и доставчиците, които имат достъп до данни, мрежа, cloud услуги, поддръжка, софтуер или критични процеси. Един слаб доставчик може да стане входна точка към по-голяма организация.
Това изисква преглед на договори, достъпи, remote support, подизпълнители, cloud услуги, SLA, incident notification условия и exit plan. В много фирми тези теми не са били подредени, защото доставчиците са избирани по цена и удобство, а не по ниво на риск.
Следващият важен блок е сигурност при придобиване, разработка и поддръжка на мрежови и информационни системи. Това засяга обновявания, vulnerability management, configuration management, hardening, тестове преди промени и управление на lifecycle на системите.
Тук ролята на IT поддръжката е много практична. Редовни обновявания, контрол на администраторските права, наблюдение на състоянието, проверка на endpoint защита, документация и отчетност са ежедневните механизми, чрез които NIS2 се превръща от документ в реална практика.
Мрежовата сигурност също става доказуема тема. Фирмата трябва да знае как са разделени мрежите, кои услуги са достъпни отвън, кой използва VPN, как се управляват firewall правила, дали има guest Wi-Fi, дали има сегментация за сървъри, камери, производствени устройства и административни системи.
Затова подготовката често включва преглед на мрежи, firewall, VPN, Wi-Fi, logging и достъпи. При по-сложни среди трябва да се мисли и за monitoring, alerting, резервна свързаност и контрол върху външните администраторски панели.
NIS2 обръща внимание и на cyber hygiene и обучение. Това не е формално обучение веднъж годишно, а изграждане на поведение: как се разпознава фишинг, как се докладва съмнителен имейл, защо MFA не се одобрява на сляпо, как се работи с пароли и как се пазят служебни устройства.
Контролът на достъпа е една от най-важните технически теми. Трябва да е ясно кой има достъп до какво, защо го има, кога се преглежда и как се премахва при напускане или смяна на роля. Администраторските права трябва да са ограничени, отделени и защитени с по-силен MFA.
Многофакторната защита, принципът least privilege, отделни admin акаунти, преглед на групи, журнал на входовете и контрол на външния достъп са мерки, които често дават най-бърз практически ефект. Това е и област, в която фирмите могат сравнително бързо да покажат напредък.
Директивата посочва и криптография, защита на комуникациите, vulnerability handling, asset management и политики за сигурност. За бизнеса това означава документация, но не документация заради самата документация. Тя трябва да показва какво се управлява, кой отговаря и как се доказва контрол.
Консултацията е важна, защото NIS2 започва с правилните въпроси. Не е разумно фирмата първо да купи нов софтуер и после да търси какъв проблем решава. По-добрият подход е gap assessment: къде попада фирмата, какви изисквания са приложими, кои контроли вече съществуват и кои липсват.
Една добра консултантска услуга трябва да преведе правните изисквания на езика на реалната IT среда. Това включва интервюта с ръководство и ключови служители, преглед на инфраструктура, достъпи, договори, backup, incident response, политики и текуща поддръжка.
Резултатът не трябва да бъде само дълъг доклад. Полезният резултат е roadmap: кои мерки са критични, кои могат да се изпълнят бързо, кои изискват бюджет, кой е отговорен, какви доказателства ще се пазят и какъв е реалистичният срок.
Консултантът не заменя управлението. Ролята му е да помогне на управлението да вземе информирани решения. NIS2 изисква ръководството да разбира риска и да наблюдава мерките. Затова консултацията трябва да включва и управленски briefing, не само технически списък с настройки.
Добрата подготовка включва матрица на отговорностите: кой е собственик на риска, кой управлява инфраструктурата, кой приема инциденти, кой комуникира с органи и клиенти, кой одобрява промени и кой следи доставчиците. Без това NIS2 лесно се превръща в задача “за IT отдела”, което е грешно.
За фирми със сървъри и виртуализация подготовката трябва да включва състояние на операционни системи, patch ниво, backup, restore тестове, администраторски достъп, monitoring, логове и план за модернизация на стари системи. Стар сървър без поддръжка може да бъде не само технически, но и регулаторен риск.
За фирми, които използват облачни услуги, въпросите са други: кой управлява tenant-а, какви MFA политики има, има ли conditional access, как се пазят логове, кой има admin роли, как се управлява споделянето на файлове, как се прави backup на cloud данни и какви са договорните условия с доставчика.
Санкциите са сериозни, но не трябва да са единственият мотив. Според публикувани анализи на българските промени глобите могат да достигат значими нива, а за съществени и важни субекти се предвиждат различни прагове. Има и елемент на отговорност на управлението. Но по-големият риск често е оперативен: престой, загуба на данни, нарушени договори и репутационни щети.
Най-честата грешка е фирмата да чака официална проверка или инцидент. По-добре е да започне с вътрешна картина: сектор, размер, критични услуги, доставчици, системи, достъпи, backup, инцидентни процедури и текущи политики. Дори ако фирмата не е директно в обхвата, този анализ почти винаги открива полезни подобрения.
Втора грешка е да се мисли, че ISO 27001, GDPR или антивирусна програма автоматично решават NIS2. Те могат да помогнат, но не освобождават от конкретните задължения за scope, risk management, incident reporting, supply chain security и управленски контрол.
Практичен първи план за подготовка: направете scope assessment; определете дали сте съществен или важен субект; подгответе asset inventory; прегледайте достъпите; проверете backup и restore; опишете incident response; оценете доставчиците; направете gap analysis по NIS2 мерките; изгответе roadmap с приоритети.
След това идва изпълнението: политики, технически настройки, обучение, процедури, договорни промени, логове, monitoring, регулярни проверки и доказателства. NIS2 не е еднократен проект, а цикъл на управление: оценка, решение, изпълнение, доказване, преглед и подобрение.
За много български фирми NIS2 може да изглежда като тежест, но правилният подход го превръща в полезен инструмент. Ако подготовката се направи разумно, компанията получава по-стабилна IT среда, по-добър контрол на доставчиците, по-ясна реакция при инцидент и по-добра позиция пред клиенти от регулирани сектори.
Изводът е прост: NIS2 не пита само дали имате защита, а дали управлявате киберриска. Това изисква комбинация от консултация, техническа работа, документация, обучение и управленски контрол. Колкото по-рано започне този процес, толкова по-малко ще бъде напрежението при проверка, инцидент или изискване от голям клиент.
