От 13 февруари 2026 г. влезе в сила Законът за изменение и допълнение на Закона за киберсигурност, с който в българското законодателство се въвеждат изискванията на Директива (ЕС) 2022/2555 (NIS 2). Основната цел е постигане на високо общо ниво на киберсигурност в Европейския съюз чрез засилване на защитата на публичните услуги и цифровата инфраструктура.
Съгласно новите разпоредби общините се определят като „съществени субекти“, което налага прилагането на по-строги мерки за защита на информационните системи, мрежите и обработваните данни.
Регистър и организационна отговорност
Министерството на електронното управление създава и поддържа регистър на субектите по закона. При настъпване на промени в подадената информация общините следва да уведомяват компетентния орган в определените срокове.
Кметовете одобряват и носят отговорност за прилагането на мерките за управление на риска в областта на киберсигурността, както и за осигуряване на необходимите ресурси за тяхното изпълнение.
Общините трябва да въведат подходящи технически, организационни и оперативни мерки, включително:
- анализ и управление на риска за информационните системи;
- процедури за предотвратяване, откриване и реагиране при инциденти;
- осигуряване на непрекъсваемост на дейността и възстановяване при кризи;
- сигурност на доставките и жизнения цикъл на използваните технологии;
- прилагане на политики за контрол на достъпа и управление на активите;
- използване на криптография, многофакторна автентикация и защитени комуникации;
- обучение на служителите и въвеждане на добри практики по киберхигиена;
- управление на промените и поддържане на актуална документация.
Всички предприети действия следва да бъдат доказуеми и надлежно документирани.
Докладване на киберинциденти
Въвежда се ясен ред за уведомяване при значителни инциденти:
- до 24 часа – ранно предупреждение;
- до 72 часа – уведомление с първоначална информация;
- при необходимост – допълнителни междинни доклади;
- до 1 месец – окончателен доклад с анализ и предприети мерки.
Контролът по изпълнение на закона се осъществява от Министерството на електронното управление чрез:
- планови и извънпланови проверки;
- одити на информационната сигурност;
- изискване на информация и доказателства за изпълнение на мерките;
- издаване на задължителни предписания за привеждане в съответствие.
