Второ гласуване на ЗИД на Закона за киберсигурност – параграф 35 (нов § 26-31) относно мерки за управление на риска

Народното събрание прие параграфи 26-31 от ЗИД на Закона за киберсигурност, които въвеждат задължителни мерки за управление на риска съгласно европейската Директива NIS2, със 115 гласа „за" срещу 34 „против".

четвъртък, 5 февруари 2026 г. 51-то НС Гласуване № 77 Важно

115 за

34 против

0 въздържали се

91 отсъстващи

149 от 240 гласували (62%)

AI анализ Позитивен

Този закон е добре че беше приет, защото най-сетне България се подготвя сериозно срещу кибератаки

Законът въвежда задължителни мерки за управление на риска от кибератаки, следвайки европейската Директива NIS2. Това означава по-добра защита на критичната инфраструктура като болници, електроснабдяване и банки, от които зависим всеки ден. В свят на растящи киберзаплахи този закон е необходима стъпка към по-сигурна дигитална България.

Как гласуваха партиите

запр.възд.отс.

58008

29007

03003

24005

30016

00017

10016

00011

0406

0002

Това гласуване е за приемането на нови параграфи 26 до 31 от Закона за изменение и допълнение на Закона за киберсигурност, които въвеждат изискванията на европейската Директива NIS2 (ЕС 2022/2555) относно мерките за управление на риска в областта на киберсигурността.

Какво се гласува

Параграфите въвеждат нова редакция на член 22 от Закона за киберсигурност, озаглавен „Мерки за управление на риска в областта на киберсигурността". Съгласно новия текст, съществените и важните субекти са задължени да предприемат подходящи и пропорционални технически, оперативни и организационни мерки за управление на рисковете за сигурността на мрежовите и информационните системи.

Основни изисквания

Мерките трябва да се прилагат при спазване на принципа за технологична неутралност и като се вземат предвид:

Последните постижения в областта на киберсигурността
Съответните европейски и международни стандарти
Разходите за прилагане на мерките

Целта е да се гарантира ниво на сигурност на мрежовите и информационните системи, съответстващо на съществуващия риск.

Политически контекст

Гласуването е част от по-широкото второ четене на ЗИД на Закона за киберсигурност, който транспонира Директива NIS2 в българското законодателство. България е закъсняла с въвеждането на директивата, която е трябвало да влезе в сила от октомври 2024 г.

Дебатът в пленарната зала беше белязан от политически конфронтации. Представители на „Възраждане" остро критикуваха законопроекта и атакуваха ПП-ДБ за съвместното гласуване с ГЕРБ и ДПС. Ангел Славчев от „Възраждане" поиска прегласуване и директно попита Божидар Божанов „какво му е обещал Бойко Борисов или Пеевски".

Значение за бизнеса

Приемането на тези текстове означава, че стотици организации в България ще трябва да въведат конкретни мерки за киберзащита. Санкциите за неспазване са сравними с тези по GDPR. Законът въвежда и лична отговорност на членовете на управителните органи, които са длъжни да предлагат и организират обучения по киберсигурност за своите служители.

Резултат

Параграфът е приет с 115 гласа „за" и 34 гласа „против", без въздържали се.

Източници и контекст

ЗИД на Закона за киберсигурност – второ гласуване (05.02.2026)

Причини за промените

Законът е приет, за да транспонира европейската Директива NIS2 (ЕС 2022/2555) в българското законодателство. България е закъсняла с въвеждането – директивата е трябвало да влезе в сила от октомври 2024 г. Промените разширяват обхвата на регулацията (вече включва финанси, здравеопазване, транспорт, цифрова инфраструктура и др.) и въвеждат значително по-строги санкции, включително лична отговорност на ръководните органи.

Позиции на партиите

ГЕРБ-СДС, ПП-ДБ, БСП, ИТН, ДПС-Пеевски – подкрепиха закона. Божидар Божанов (ПП-ДБ) аргументира подкрепата с прилагането на европейска директива.
Възраждане, ДПС-Ново начало, МЕЧ – гласуваха „въздържали се" / против. Ангел Славчев (Възраждане) атакува публично ПП-ДБ за гласуването съвместно с ГЕРБ и ДПС-Пеевски, питайки „какво им е обещано".
Критика към МЕУ: Министерството на електронното управление е обвинено в централизиран подход, несъвместим с NIS2 (директивата изисква индивидуална оценка на риска).

Влияние върху бизнеса и гражданите

Стотици организации ще трябва да въведат мерки за киберзащита и да докладват инциденти.
Санкциите са сравними по размер с тези по GDPR.
Действа преходен период до 1 юни 2026 г. – санкции в половин размер.
Законът е обнародван в Държавен вестник на 13.02.2026 г.

Обществени реакции

Критиките са основно от бизнеса и IT общността – прекалено бюрократичен подход и централизация от страна на МЕУ, което противоречи на духа на NIS2.

Източници:

Категории

Отбрана и сигурност Законодателство Външна политика

5 февруари 2026 г. Заседание на 5 февруари 2026 - Ограничаване на секциите в чужбина и Закон за киберсигурност

Какво означава за вас?

По-сигурни онлайн услуги

Банки, болници, ВиК дружества и телекоми вече са задължени да защитават системите си от хакерски атаки. По-малко риск личните ви данни да бъдат откраднати.

По-малко спирания на тока и водата

Енергийните и водните компании трябва да имат план за бързо възстановяване при кибератака. Целта е да няма дълги прекъсвания на услугите.

Ще поскъпнат ли услугите?

Възможно е леко увеличение на таксите за някои услуги, защото фирмите ще инвестират в киберзащита. Засега няма конкретни числа.

🇪🇺 Сравнение с ЕС

България е сред 26-те от 27-те държави членки, които не спазиха крайния срок за транспониране на NIS2 (17 октомври 2024 г.). На 7 май 2025 г. ЕК откри процедури за нарушение срещу 19 държави, включително България, Германия, Полша и Румъния.

Как е в други държави?

🇩🇪

Германия Частично транспониране на NIS2, но неуспешна пълна нотификация в срок

🇵🇱

Полша Неспазен срок за транспониране на NIS2

🇷🇴

Румъния Неспазен срок за транспониране на NIS2

Ключови думи

киберсигурностNIS2управление на рискадирективакибератакиинформационна сигурностмрежова сигурносткритична инфраструктура