Регулации по киберсигурност
България прилага многопластова нормативна рамка за киберсигурност, обхващаща Закона за киберсигурност (транспониращ NIS2), GDPR, DORA за финансовия сектор, предстоящия Cyber Resilience Act и секторно законодателство. Седем регулаторни органа контролират прилагането в различните сектори.
Кратък справочник на регулациите
Основните регулации по киберсигурност, обяснени с едно-две изречения.
Европейска директива и съответният български закон, които задължават средни и големи организации от 18 ключови сектора да прилагат мерки за киберсигурност и да докладват инциденти.
Закон за киберсигурност (Lex.bg) →
Общият регламент за защита на данните и Законът за защита на личните данни регулират обработването на лични данни. Засяга всяка организация, която събира или обработва лични данни на физически лица.
ЗЗЛД (Lex.bg) →
Регламент за цифрова оперативна устойчивост, насочен специално към финансовия сектор — банки, застрахователи, инвестиционни посредници и техните ИКТ доставчици.
EUR-Lex → · dora.bg →
Регламент на ЕС, изискващ производителите на продукти с цифрови елементи (IoT, софтуер) да осигурят киберсигурност по проектиране и през целия жизнен цикъл.
EUR-Lex →
Регламент за електронна идентификация и удостоверителни услуги. Осигурява правна рамка за електронни подписи, печати и удостоверения в целия ЕС.
EUR-Lex →
Установява рамка за доброволна сертификация на ИКТ продукти и услуги на ниво ЕС и укрепва мандата на ENISA.
EUR-Lex →
Кои регулации се отнасят за вас?
Отговорете на няколко въпроса, за да разберете кои нормативни изисквания са приложими за вашата организация.
Закон за киберсигурност и NIS2
Основният национален акт, транспониращ Директива (ЕС) 2022/2555 (NIS2) в българското законодателство.
Приет на 31 октомври 2018 г., обнародван в ДВ бр. 94/2018. Транспонира Директива NIS1 (2016/1148). Установява националната рамка за мрежова и информационна сигурност с начален обхват от 8 сектора.
Пълен текст в Lex.bg →
Законопроект 51-402-01-17, приет от НС на 5 февруари 2026 г., обнародван в ДВ бр. 17/2026. Транспонира Директива NIS2 (2022/2555) с разширяване на обхвата от 8 на 18 сектора.
Законопроект в НС →
- Обхват: от 8 на 18 сектора, класификация на съществени и важни субекти
- Размерен критерий: ≥50 служители или >€10M оборот
- Докладване на инциденти: 24 ч. ранно предупреждение → 72 ч. уведомление → 30-дневен финален доклад
- Отговорност на ръководството: задължително обучение на всеки 2 години
- Санкции: до €10M / 2% от оборота за съществени субекти; €7M / 1,4% за важни
- Всички предприятия за храни попадат в обхвата
- Промени в регистъра — уведомяване в рамките на 2 седмици
- Изискване за управление на промените (change management)
- Правомощия за ограничаване на технологии при национална сигурност
GDPR и защита на личните данни
Общият регламент за защита на данните (Регламент (ЕС) 2016/679) е пряко приложим от 25 май 2018 г., допълнен от национален закон.
Регламент (ЕС) 2016/679 е в сила от 25 май 2018 г. без необходимост от транспониране. Максимални глоби: до €20M или 4% от глобалния годишен оборот (по-високата стойност). Уведомяване за нарушение: до 72 часа към КЗЛД, без забавяне към засегнатите лица при висок риск.
Национален закон, последно изменен 2019 г., адаптиращ българското право към GDPR. Определя възрастта за цифрово съгласие на 14 години (чл. 8 GDPR допуска 13-16). Специална защита на ЕГН и биометрични данни. Правила за обработване на данни в трудовите отношения. ДЛЗД трябва да бъде регистрирано в КЗЛД.
Пълен текст →
Независим надзорен орган по GDPR в България. Уведомяване за нарушения: до 72 часа от установяването. Уебсайт: cpdp.bg
Изтичане на данни на над 6 милиона субекта от Национална агенция за приходите. Първоначална глоба от КЗЛД: 5,1 млн. лв. — отменена от съда поради изтекла давност. Делото е значимо за тълкуването на отговорността на администратори — Дело C-340/21 на Съда на ЕС установява, че самият факт на нарушение не означава автоматично неадекватни мерки.
DORA (финансов сектор)
Регламент (ЕС) 2022/2554 за цифрова оперативна устойчивост на финансовия сектор. Приложим от 17 януари 2025 г. Пълен текст в EUR-Lex → · dora.bg →
- Управление на ИКТ риска: цялостна рамка за идентификация, защита, откриване и реагиране
- TLPT: тестове за проникване на базата на заплахи — на всеки 3 години за системно важни субекти
- Управление на трети страни: регистър на ИКТ доставчици, оценка на концентрационен риск
- Докладване на инциденти: по стандартизирани RTS към ЕНО
БНБ (Българска народна банка) — надзор над кредитни институции и платежни оператори. КФН (Комисия за финансов надзор) — надзор над инвестиционни посредници, застрахователи и пенсионни фондове. Глоби за ръководители: 10 000 – 20 000 лв., удвоени при повторно нарушение.
Други EU регулации
Допълнителни европейски актове, пряко приложими или предстоящи за транспониране.
Регламент (ЕС) 2024/2847 за хоризонтални изисквания за киберсигурност на продукти с цифрови елементи. Пълна приложимост от декември 2027 г. Обхваща IoT устройства, софтуерни продукти и промишлено оборудване. Глоби до €15M или 2,5% от глобалния оборот. Задължение за докладване на активно експлоатирани уязвимости в рамките на 24 часа.
Регламент (ЕС) 910/2014 за електронна идентификация и удостоверителни услуги. В България транспониран чрез ЗЕДЕУУ. Квалифицираният електронен подпис (КЕП) има правна сила, еквивалентна на саморъчен подпис. КРС осъществява надзор над доставчиците на удостоверителни услуги. Квалифицирани доставчици: Evrotrust, InfoNotary, B-Trust.
Установява рамка за доброволна сертификация на ИКТ продукти, услуги и процеси на ниво ЕС. Схемата EUCC (Common Criteria) е първата приета. ENISA координира подготовката на допълнителни схеми. В България прилагането се координира от Министерство на електронното управление.
Секторно законодателство
Специфични нормативни актове по сектори, допълващи хоризонталните регулации.
Закон за електронните съобщения — регулира сигурността на телекомуникационните мрежи. Надзор от КРС (Комисия за регулиране на съобщенията). Задължение за уведомяване при инциденти в сигурността на мрежите.
Текст на ЗЕС →
Транспонира PSD2 (Директива 2015/2366). Изисква силна автентикация на клиента (SCA) за онлайн платежни операции. В България се прилага стандартът БИСТРА за междубанкови разплащания. Надзор от БНБ.
Закон за електронното управление, чл. 57 изисква NIS сертификация за информационни системи на администрацията. С измененията от 2026 г. общините също попадат в обхвата на NIS2. Наредба за минималните изисквания за мрежова и информационна сигурност определя техническите стандарти.
Закон за кредитните институции, Насоки на ЕБО за управление на ИКТ и рискове за сигурността, наредби на БНБ. Покрива оперативна устойчивост, ИТ аутсорсинг и управление на критични функции. Допълнително прилагане на DORA от януари 2025 г.
КЕВР (Комисия за енергийно и водно регулиране) — регулатор на сектора. Енергийните оператори попадат в обхвата на NIS2 като съществени субекти. Изисквания за сигурност на SCADA/ICS системи.
КЕВР →
Здравни данни са специална категория по чл. 9 на GDPR — изискват изрично съгласие или друго правно основание. Болниците попадат в обхвата на NIS2 като субекти в сектор “Здравеопазване”. Допълнителни изисквания в Закона за здравето и подзаконови актове.
Регулаторни органи
Седемте основни институции, отговорни за прилагането на нормативната рамка по киберсигурност в България.
Санкции
Преглед на максималните санкции по всички режими, приложими в България.
| Режим | Субект | Максимална санкция |
|---|---|---|
| NIS2 | Съществени субекти | €10 000 000 или 2% от глобалния оборот |
| NIS2 | Важни субекти | €7 000 000 или 1,4% от глобалния оборот |
| NIS2 | Физически лица (ръководители) | 500 – 5 000 лв. |
| GDPR | По-висок праг (чл. 83(5)) | €20 000 000 или 4% от глобалния оборот |
| GDPR | По-нисък праг (чл. 83(4)) | €10 000 000 или 2% от глобалния оборот |
| DORA | Физически лица (ръководители) | 10 000 – 20 000 лв. (удвоени при повторно) |
| CRA | Производители на цифрови продукти | €15 000 000 или 2,5% от глобалния оборот |
| Наказателен кодекс | Неоторизиран достъп (чл. 319а–319е) | До 6 години лишаване от свобода |
Срокове за докладване на инциденти
Хронология на задълженията за уведомяване по различните режими.
Стратегически документи
Националните стратегии и подзаконови актове, определящи политиката по киберсигурност.
Първата национална стратегия за киберсигурност, приета с Решение на МС No 583/2016. Поставя основите на институционалната рамка и международното сътрудничество.
cyberbg.eu →
Актуализирана национална стратегия, приета с Решение на МС No 301/2021. Обхваща развитието на човешките ресурси, защитата на критичната инфраструктура и укрепването на националния CERT.
strategy.bg →
Постановление на МС No 186/2019 г. Определя минималните технически и организационни мерки за мрежова и информационна сигурност, които операторите на съществени услуги и доставчиците на цифрови услуги трябва да прилагат.
e-gov.bg →
Информацията на тази страница е съставена на базата на официални източници и е с информативен характер. Нормативната уредба се променя — за актуални данни, моля, проверявайте официалните сайтове на Министерство на електронното управление, КЗЛД, БНБ и Lex.bg. Съдържанието не представлява правен съвет.