Много фирми мислят, че Законът за киберсигурност не ги засяга. „Ние не сме държавна институция“ – казват. Или: „Сигурността ни е достатъчно добра“. Но истината? Ако обработвате лични данни, имате IT инфраструктура и работите с доставчици – законът Ви засяга. И при пропуск… последствията са реални.
В тази статия ще Ви покажа какво изисква Законът за киберсигурност в България. Ясно, подредено, без жаргон. С примери, линкове и съвети как да се подготвите, преди да стане късно.
Кой попада под обхвата на закона?
🔹 Организации от критични сектори – енергетика, здравеопазване, транспорт, финанси
🔹 Доставчици на цифрови услуги – cloud, data center, онлайн платформи
🔹 Администратори на лични данни – включително частни компании с достъп до чувствителна информация
🔹 Всяка компания, която подлежи на одит по ISO 27001, NIS2 или SOC 2
📌 Ако не сте сигурни – направете вътрешен GAP анализ или потърсете външен консултант като Atlant Security, които редовно работят с клиенти по одити и подготовка за съответствие.
Какви са основните изисквания?
🔐 Внедряване на технически и организационни мерки за сигурност:
- Контрол на достъпа
- Логване и мониторинг
- Защита на мрежовия периметър
- Криптиране на данни
🧩 Поддръжка на план за реагиране при инциденти:
- Incident Response Plan (IRP)
- Назначен екип с ясно разписани роли
- Канали за комуникация с регулатори
📚 Документация:
- Политики за информационна сигурност
- Регистри на инциденти, активи, рискове
- Планове за непрекъсваемост и възстановяване
📢 Докладване на инциденти:
- В рамките на 72 часа до компетентните органи
- Включително оценка на въздействието и предприетите действия
Санкции при неспазване
❌ За сериозни субекти: до 20 млн. лв или 2% от годишния оборот
❌ За важни субекти: до 14 млн. лв или 1.4% от оборота
🔍 При проверка:
- Липса на доказуем процес ➝ глоба
- Липса на реакция при инцидент ➝ санкция
- Липса на обучение ➝ предписание
Чести пропуски според Atlant Security
🚫 Няма назначен отговорник по сигурността
🚫 Плановете за инциденти са „на хартия“ – но никога не са тествани
🚫 Липсва одит на доставчици и партньори
🚫 Никой не следи кой има достъп до какво в системите
📌 Прочетете подробната им статия тук – чудесен ресурс за подготвителен процес
Как да започнете?
- Направете вътрешен одит по NIS2 контроли
- Определете кои системи попадат под обхвата на закона
- Създайте или актуализирайте политика за информационна сигурност
- Проведете симулация на инцидент с ръководството и ключовите екипи
- Включете мерки за мониторинг, отчетност и регистриране на действията
Какво включва добрата подготовка?
✅ Политики – одобрени, приети и внедрени
✅ Технически мерки – EDR, SIEM, firewall с logging
✅ Обучение – не само еднократно, а с периодичен refresh
✅ Документиране – всяка мярка трябва да има запис
✅ План – ясен, разбираем и съгласуван
Какво НЕ е достатъчно?
❌ PDF файл със „стратегия за сигурност“ от 2019 г.
❌ Автоматичен vulnerability scan без анализ
❌ Антивирус без централен контрол и отчетност
❌ Презентация без реални действия 🚀 Сигурността не е просто още едно задължение в списъка.
Тя е основата, върху която стъпват доверието, стабилността и устойчивостта на Вашата организация. Законът я изисква, но клиентите я очакват. И партньорите я проверяват.