Сертифициране на киберсигурността – ЗИД на Закона за киберсигурност – параграф 28, чл. 24
Депутатите дадоха зелена светлина на правителството да изисква от болници, банки и други ключови организации да използват само европейски сертифициран софтуер и хардуер – стъпка към по-сериозна защита от хакерски атаки.
Този закон е добре, че беше приет: Европейска киберзащита за болници и банки
Как гласуваха партиите
Това гласуване е за приемане на нова редакция на член 24 от Закона за киберсигурност, който урежда сертифицирането на киберсигурността.
Какво се променя
ПРЕДИ: Старият текст на чл. 24 не съдържаше ясни изисквания към организациите да използват сертифицирани ИКТ продукти и услуги по европейските схеми за киберсигурност.
СЛЕД: С новата редакция Министерският съвет получава правомощие чрез постановление да задължи «съществените и важните субекти» да използват конкретни ИКТ продукти, ИКТ услуги и ИКТ процедури, които са сертифицирани по европейските схеми за киберсигурност съгласно Регламент (ЕС) 2019/881.
Практическо значение
Тази промяна означава, че държавата може да изиска от ключови организации – енергийни компании, болници, банки, телекоми и други критични инфраструктури – да използват само софтуер и хардуер, преминали през европейска сертификация за киберсигурност.
Предложенията на «Възраждане» (чрез депутатите Костадин Костадинов, Ангел Славчев и други) за ограничаване на това правомощие не бяха подкрепени от комисията. Опозицията предлагаше задължителното използване на сертифицирани продукти да се допуска «само при наличие на висок риск за националната сигурност», но това предложение не мина.
Контекст на дебатите
Интересно е, че по време на второто гласуване на Закона за киберсигурност дебатите бяха силно политизирани и се преплитаха с въпроси от Изборния кодекс. Депутати от «Възраждане» използваха процедурните изказвания, за да атакуват други партии по темата за гласуването в чужбина и секциите в Турция – тема, която няма пряка връзка с киберсигурността.
Европейски контекст
Промяната транспонира изискванията на Директива NIS2 (ЕС 2022/2555), която задължава държавите-членки да повишат нивото на киберсигурност. България закъсня с транспонирането – крайният срок беше октомври 2024 г.
С приемането на този текст правителството получава инструмент да налага използването на проверени и сертифицирани технологии в критичната инфраструктура, което теоретично би трябвало да намали риска от кибератаки срещу ключови системи в страната.
Източници и контекст
Имам достатъчно информация. Ето обобщението:
ЗИД на Закона за киберсигурност – второ гласуване (05.02.2026)
Причини за промените
Законът транспонира европейската Директива NIS2 (ЕС 2022/2555) за мрежова и информационна сигурност. България е закъсняла с транспонирането (крайният срок е бил октомври 2024 г.). Измененията актуализират закона от 2018 г.
Ключови промени
- Разширен кръг от задължени сектори и организации
- Лична отговорност на висшия мениджмънт за спазване на изискванията
- Разширени правомощия на ДАНС и Центъра за наблюдение на киберинциденти
- Санкции до 10 млн. евро или 2% от годишния оборот (по-строги от досегашните)
- Преходен период до 01.06.2026 г. – санкциите са наполовина
Политически разногласия
Отбелязани са спорове около централизирания контрол – МЕУ е предложило централизиран пакет с изисквания, което противоречи на духа на NIS2, предвиждащ индивидуална оценка на риска от всяка организация. Темата е обект на дебати в Народното събрание.
Влияние върху гражданите и бизнеса
- Засяга главно бизнеса и публичния сектор (не директно гражданите)
- Публикуван в Държавен вестник на 13.02.2026 г.
Забележка: Контекстът от стенограмата (§ 7, чл. 33, декларации пред СИК) изглежда свързан с изборно законодателство, а не с киберсигурност – вероятно е грешно включен фрагмент.
Източници: