Този сайт използва "бисквитки" (cookies) за своята ефективност. Продължавайки напред, Вие сe съгласявате с нашата Политика за поверителност

×
НАЦИОНАЛНО СДРУЖЕНИЕ НА ОБЩИНИТЕ В РЕПУБЛИКА БЪЛГАРИЯ

Новини Новини

Консултативни материали

Начало | За общините | Консултативни материали | Нови изисквания към общините по Закона за киберсигурност (Директива NIS2): обхват, мерки, контрол и санкции

Нови изисквания към общините по Закона за киберсигурност (Директива NIS2): обхват, мерки, контрол и санкции

13.02.2026
Нови изисквания към общините по Закона за киберсигурност (Директива NIS2): обхват, мерки, контрол и санкции

В Държавен вестник, бр. 17 от 13.02.2026 г., е обнародван Закон за изменение и допълнение на Закона за киберсигурност, в сила от 13.02.2026 г., (https://dv.parliament.bg/DVWeb/showMaterialDV.jsp?idMat=241234), с който се транспонира Директива (ЕС) 2022/2555 относно мерките за постигане на високо общо ниво на киберсигурност в целия Съюз (Директива NIS2).

Важни акценти в дейността на общините:

§4 – Изменен чл. 4 (Обхват)

Общините попадат в обхвата на закона като „административни органи“.

§5 – Нов чл. 4а (Съществени и важни субекти)

Административните органи (общините) са определени като „съществени субекти“ (чл. 4а, ал. 1, т. 4).

§7 – Изменен чл. 6 (Регистър)

Министърът на електронното управление създава и поддържа регистър на субектите по чл. 4 и 4а.

  • При промяна на вписани данни - наименование, адрес, актуални данни за контакт (вкл. имейли и телефони) – общините уведомяват МЕУ в двуседмичен срок;

  • Регистърът не е публичен.

    §25 – Изменен чл. 21

Административните органи (кметовете на общини) одобряват мерките за управление на риска в областта на киберсигурността и следят за прилагането им.

§26 – Изменен чл. 22 (Мерки за управление на риска)

Съществените субекти (общините) предприемат подходящи и пропорционални технически, оперативни и организационни мерки за управление на 11 вида задължителни мерки:

  1. политики за анализ на риска и сигурност на информационните системи;

  2. действия при инцидент;

  3. непрекъснатост на стопанската дейност (управление на резервни копия, възстановяване след бедствия, управление на кризи);

  4. сигурност на веригата за доставка;

  5. сигурност при придобиване, разработване и поддръжка на системи;;

  6. политики за оценяване на ефективността на мерките

  7. основни киберхигиенни практики и обучение;

  8. политики относно криптография и криптиране;

  9. сигурност на човешките ресурси, контрол на достъпа, управление на активи;

  10. многофакторно удостоверяване и защитени комуникационни системи;

  11. управление на измененията на информационните активи;

  12. мерки за управление на риска в областта на киберсигурността и задължения за докладване за субекти от вида, посочен в приложение I или II, както и за субекти, установени като критични съгласно Директива (ЕС) 2022/2557.

При установен пропуск – възниква задължение за общината за изпълнение на коригиращи мерки.

§27 – Изменен чл. 23 (Задължения за докладване)

Нова система за уведомяване при значителни инциденти към секторния екип (СЕРИКС):

  1. До 24 часа след установяване – ранно предупреждение

  2. До 72 часа след установяване – уведомление за инцидент с първоначална оценка

  3. По искане на СЕРИКС – междинен доклад

  4. До 1 месец след уведомлението – окончателен доклад

Важно: СЕРИКС връща отговор в рамките на 24 часа и предоставя насоки или техническа подкрепа.

§34 – Нова глава втора „в“ – Контрол (чл. 27е-27о) с важно значение за общините:

  • Чл. 27е – Контрол за спазване на изискванията се осъществява от МЕУ (за общините).

  • Чл. 27ж, ал. 1Правомощия на МЕУ при контрол на общините като съществени субекти:

  1. планови и извънпланови проверки (на място или дистанционни)

  2. редовни и целеви одити на сигурността

  3. извънпланови одити при значителен инцидент или нарушение

  4. проверки за сигурност

  5. изискване на информация за оценка на мерките и политиките

  6. достъп до данни, документи и информация

  7. изискване на доказателства за изпълнение (резултати от одити и др.)

  • Чл. 27з – Целеви одити се основават на оценки на риска. Разходите за одит от независим орган се заплащат от общината.

  • Чл. 27иМЕУ издава:

  1. предупреждения

  2. задължителни предписания за отстраняване на пропуски с определени срокове

  3. разпореждания за преустановяване на нарушения

  4. разпореждания за привеждане на мерките в съответствие с чл. 22

  5. разпореждания за уведомяване на засегнати лица

  6. разпореждания за изпълнение на препоръки от одити

  7. разпореждания за публично обявяване на нарушението

    §35 – Изменен чл. 28 (Санкции за неизпълнение на принудителни мерки)

При неизпълнение на задължително предписание по чл. 27и – глоба/имуществена санкция:

  • 2 500 - 12 000 евро при първо нарушение;

  • 5 000 - 25 000 евро при повторно нарушение.

  • 36 – Изменен чл. 29 (Глоби и имуществени санкции)

При нарушение на чл. 21 (неодобряване на мерките или неследене на прилагането им) на кмета на общината се налага глоба 500 - 5000 евро.

На база изложеното, Ви препоръчваме следното:

  1. Относно данните за регистъра на МЕУ (чл. 6):

  • Създайте вътрешна процедура за уведомяване на МЕУ при промяна на данните в двуседмичен срок.

  1. Относно мерките за управление на риска (чл. 22):

  • Актуализирайте политиките за информационна сигурност, които да покриват всички мерки по чл. 22, ал. 2;

  • Обърнете внимание на следните две мерки по чл. 22, ал. 2:

  • Многофакторно удостоверяване на идентичността за достъп до общински системи. Удостоверяването на идентичността чрез КЕП при административното обслужване на граждани и юридически лица и в служебната комуникация остава напълно валидно и достатъчно. Новото изискване за многофакторно удостоверяване се прилага по целесъобразност, след извършване на оценка на риска и се отнася до вътрешната сигурност на системите на общинската администрация - защита на служебните системи и данни от неоторизиран достъп - както от външни атаки, така и от вътрешни заплахи, напр. при администраторски достъпи, достъпи до чувствителни лични данни, до финансови данни на общината и др.

  • Управление на измененията на информационните активи (Change Management) означава разработване и въвеждане в общината на вътрешна процедура за извършване на контролирани промени в информационните системи, хардуер, софтуер, мрежи и данни на общината, за да се избегнат инциденти, прекъсвания на услугите или нарушения на сигурността.

  • Документирайте подробно всички мерки по чл. 22, ал. 2 – при проверка МЕУ ще изисква доказателства.

В срок до 8 месеца от влизане в сила на закона (до октомври 2026 г.) МС трябва в съответствие със закона да актуализира наредбата по чл. 3, ал. 2, която определя минималния обхват на мерките за постигане на високо общо ниво на киберсигурност за съществените субекти, вкл. за общините - § 47, т. 3.

  1. Относно докладването на инциденти (чл. 23):

  • Актуализирайте вътрешните процедури за реагиране при инциденти съобразно новата структура и срокове;

  • Определете отговорни лица, които да осигурят спазване на сроковете: 24 часа, 72 часа, 1 месец;

  • Подгответе образци на различните видове уведомления;

  • Осигурете 24/7 канал за връзка със СЕРИКС при МЕУ.

  1. Във връзка с прилагането на Директива (ЕС) 2022/2555 относно мерките за постигане на високо общо ниво на киберсигурност в целия Съюз (Директива NIS2) използването на Gmail, ABV, Mail.bg и други публични пощенски услуги за служебна кореспонденция нарушава Закона за киберсигурност, Закона за електронното управление и GDPR. Общините следва да използват служебни електронни пощи в собствен домейн, предоставени и администрирани от самата администрация или от оправомощен доставчик.

Общините са задължени да използват изключително СЕОС и ССЕВ за служебна комуникация, за да гарантират сигурността на данните, защитата на личните данни на гражданите и изпълнението на изискванията за киберсигурност.