Мерки за управление на риска в киберсигурността – ЗИД на Закона за киберсигурност – параграфи 26-29 (нови)
Народното събрание прие нови параграфи 26-29 от ЗИД на Закона за киберсигурност, които въвеждат задължителни мерки за управление на риска и обучения за ръководствата на организации в критични сектори, като част от транспонирането на европейската директива NIS2.
Този закон е добре, че беше приет, защото най-накрая шефовете ще учат как да пазят данните ни от хакери
Как гласуваха партиите
Това гласуване е за приемането на нови параграфи 26, 27, 28 и 29 от Закона за изменение и допълнение на Закона за киберсигурност при второ четене.
Какво се приема
Параграф 26 изменя член 22 от Закона за киберсигурност, като въвежда нови изисквания за мерки за управление на риска в областта на киберсигурността. Заедно с параграфи 27, 28 и 29, тези разпоредби са предложени от Комисията и представляват ключова част от транспонирането на европейската директива NIS2 (EU 2022/2555).
Основни елементи на новите разпоредби
Новите параграфи въвеждат:
- Задължения за управителните органи на съществените и важните субекти да одобряват и контролират мерките за управление на риска в киберсигурността
- Задължителни обучения за членовете на управителните органи по въпросите на киберсигурността
- Отговорност на ръководството за оценка на въздействието на рисковете върху предоставяните услуги
- Задължение за организиране на обучения за служителите на организациите
Контекст
Тези промени са част от по-широката реформа на Закона за киберсигурност, която въвежда:
- Санкции до 10 милиона евро или 2% от годишния глобален оборот за нарушения
- Засилен надзор върху критични сектори като енергетика, транспорт, здравеопазване и финанси
- Преходен период до 1 юни 2026 година с намалени санкции
Как протече гласуването
Преди гласуването имаше процедурни предложения от ПП-ДБ за проверка на кворума и от ГЕРБ-СДС за прегласуване на предходно решение. В стенограмата се наблюдават остри дебати между партиите, включително обвинения от ВЪЗРАЖДАНЕ към ПП-ДБ за сътрудничество с ГЕРБ и ДПС по законопроекта.
Представителят на ВЪЗРАЖДАНЕ Ангел Славчев заяви, че законопроектът "е под всякаква критика" и че ще наложи инвестиции за милиарди на IT бизнеса. Въпреки критиките, гласуването премина успешно.
Значение
Приемането на тези параграфи е важна стъпка към привеждане на българското законодателство в съответствие с европейските изисквания за киберсигурност. Мерките засягат средни и големи компании в критични сектори, както и общините, които получават нови задължения за киберсигурност.
Източници и контекст
Имам достатъчно информация. Ето резюмето:
ЗИД на Закона за киберсигурността – второ гласуване (05.02.2026)
Резултат от гласуването
128 гласа „за", 2 „против", 56 „въздържали се". Законът е приет и обнародван в Държавен вестник на 13 февруари 2026 г.
Причини за промените
Законът транспонира европейската директива NIS2 (EU 2022/2555) за мрежова и информационна сигурност. България е закъсняла с транспонирането, което е трябвало да стане по-рано.
Ключови промени (вкл. параграфи 26-29)
- Засилена отговорност на ръководството на компаниите – лична отговорност за спазване на изискванията
- Санкции до 10 млн. евро или 2% от годишния глобален оборот (по-голямото от двете)
- Ограничения върху използването на рискови технологии
- Задължения за оценка на риска и докладване на инциденти
Позиции на партиите
- „Продължаваме промяната – ДБ" – направи процедурно предложение за проверка на кворума преди гласуването (56 въздържали се показват известна резервираност от опозицията)
- Мнозинството подкрепи закона
Въздействие върху гражданите и бизнеса
- Засяга средни и големи компании в критични сектори (енергетика, транспорт, здравеопазване, финанси, ВиК, цифрова инфраструктура)
- Преходен период до 1 юни 2026 г. – санкциите са в размер на 50% от нормалните стойности
- Общините също придобиват нови задължения за киберсигурност
Обществени реакции
Бизнес средите са предупредени за новите задължения – капиталови медии публикуват анализи за съответствие.
Източници: