Кои са 12-те мерки по чл.22 ЗКС — за нетехнически мениджъри

На 13 февруари 2026 г. влезе в сила обновеният Закон за киберсигурност (ДВ бр.17/13.02.2026), който транспонира европейската директива NIS2. Чл.22 изброява 12 конкретни мерки, които всеки задължен субект — община, пристанище, болница, ВиК оператор — трябва да прилага.

Проблемът: текстът е писан от юристи за юристи. Ако сте кмет, директор или мениджър без ИТ бекграунд, тази статия е за вас. Обясняваме всяка мярка с прости думи и конкретни примери.

Мярка 1: Политики за анализ на риска и сигурност на информацията

Какво казва законът (чл.22, т.1): Организацията трябва да има писмена политика за управление на рисковете.

Какво означава на практика: Документ, който казва „ето кои са нашите системи, ето какви рискове виждаме, ето какво правим по въпроса". Не е нужно да е 100 страници — но трябва да съществува, да е одобрен от ръководството и да се преразглежда минимум веднъж годишно.

Какво иска МЕУ да види: Подписан документ с дата, списък на критичните системи, оценка на рисковете, отговорни лица.

Мярка 2: Управление на инциденти

Какво казва законът (чл.22, т.2): Процедури за откриване, анализ и реагиране при инциденти в киберсигурността.

Какво означава на практика: Ако утре хакнат сайта ви или криптират сървъра — знаете ли кого да се обадите? Имате ли план? Процедурата описва: кой открива инцидента, кой решава какво да се прави, кой уведомява СЕРИКС в рамките на 24 часа (чл.23 ЗКС).

Какво иска МЕУ да види: Писмена процедура, контактен списък, доказателство за поне едно тестово упражнение (табълтоп тест).

Мярка 3: Непрекъсваемост — backup, DRP, BCP

Какво казва законът (чл.22, т.3): Непрекъсваемост на дейността, управление на резервни копия, възстановяване при бедствия.

Какво означава на практика: Три въпроса: Правите ли backup? Тествали ли сте дали backup-ът реално работи? Ако утре сървърната зала изгори — можете ли да продължите работа?

Какво иска МЕУ да види: Доказателство за редовни backup-и (логове), поне един тест за възстановяване, написан BCP/DRP план.

Мярка 4: Сигурност на веригата на доставки

Какво казва законът (чл.22, т.4): Управление на рисковете от доставчици и подизпълнители.

Какво означава на практика: Вашият ИТ доставчик има достъп до системите ви. Хостинг компанията държи данните ви. Ако те бъдат хакнати — вие сте засегнати. Трябва: списък на всички ИТ доставчици, договори с клаузи за сигурност, проверка на техните мерки.

Какво иска МЕУ да види: Регистър на доставчиците, договори с SLA и клаузи за киберсигурност. Gmail/ABV за служебна поща = автоматично нарушение тук.

Мярка 5: Сигурност при разработка и поддръжка на системи

Какво казва законът (чл.22, т.5): Сигурност при придобиване, разработка и поддръжка на мрежови и информационни системи, включително уязвимости.

Какво означава на практика: Когато поръчвате нов сайт или софтуер — в техническото задание трябва да има изисквания за сигурност. Когато доставчикът ви пусне ъпдейт — трябва да го инсталирате навреме, а не след 2 години.

Какво иска МЕУ да види: Процедура за управление на уязвимости, доказателство за актуализации (patch management), изисквания за сигурност в договорите за разработка.

Мярка 6: Оценка на ефективността на мерките

Какво казва законът (чл.22, т.6): Политики и процедури за оценка дали мерките работят.

Какво означава на практика: Не е достатъчно да напишете политика — трябва да проверявате дали я спазвате. Това може да е вътрешен одит, външен одит, или поне годишен преглед: „Написахме, че правим backup всеки ден — наистина ли го правим?"

Какво иска МЕУ да види: Протокол от вътрешен преглед или одит, списък с констатации и коригиращи действия.

Мярка 7: Киберхигиена и обучение

Какво казва законът (чл.22, т.7): Основни практики за киберхигиена и обучение на персонала.

Какво означава на практика: Служителите трябва да знаят: да не кликат на подозрителни линкове, да не споделят пароли, да заключват компютъра. Обучението трябва да е документирано — не устно „казахме им".

Какво иска МЕУ да види: Протокол от обучение с дата, присъстващи и теми. Поне веднъж годишно. Ръководителят (кмет/директор) също трябва да е преминал обучение — лична отговорност по чл.21 ЗКС.

Мярка 8: Криптография

Какво казва законът (чл.22, т.8): Политики и процедури за използване на криптография, включително криптиране.

Какво означава на практика: Сайтът трябва да е на HTTPS. Имейлите с лични данни трябва да се криптират. Базите данни с чувствителна информация трябва да са криптирани. WiFi мрежата трябва да е с WPA3/WPA2, не отворена.

Какво иска МЕУ да види: HTTPS на всички публични системи, криптирани бази данни, политика за криптиране.

Мярка 9: Сигурност на човешките ресурси и контрол на достъпа

Какво казва законът (чл.22, т.9): HR сигурност, политики за контрол на достъпа и управление на активи.

Какво означава на практика: Когато служител напусне — акаунтът му се деактивира в същия ден, не след 6 месеца. Всеки служител има достъп само до това, което му е нужно за работата. Има списък кой до какво има достъп.

Какво иска МЕУ да види: Процедура за onboarding/offboarding, матрица на достъпа, доказателство за деактивирани акаунти на напуснали.

Мярка 10: Многофакторна автентикация (МФА)

Какво казва законът (чл.22, т.10): Използване на МФА или непрекъсната автентикация, когато е целесъобразно.

Какво означава на практика: Администраторските акаунти задължително трябва да имат МФА (парола + SMS код или приложение). За обикновени потребители — по преценка след оценка на риска. Законът не изисква МФА навсякъде — но изисква да сте обосновали решението си.

Какво иска МЕУ да види: МФА активирано поне за администраторски достъп. Ако не е — писмена обосновка защо не е целесъобразно (с анализ на риска).

Мярка 11: Управление на промените (Change Management)

Какво казва законът (чл.22, т.11): Управление на промените в мрежовите и информационните системи.

Какво означава на практика: Преди да промените нещо в системата — записвате какво, защо, кога и кой одобрява. Не „Иван ъпдейтна сървъра в петък вечерта без да каже на никого".

Какво иска МЕУ да види: Регистър на промените (change log), процедура за одобрение, доказателство за тестване преди внедряване.

Мярка 12: Докладване

Какво казва законът (чл.22, т.12 във връзка с чл.23): Уведомяване при значителни инциденти.

Какво означава на практика: При сериозен инцидент — уведомявате СЕРИКС (cert@government.bg):

  • 24 часа — ранно предупреждение: „Имаме инцидент."
  • 72 часа — уведомление: „Ето какво се случи и какво правим."
  • По искане — междинен доклад.
  • 1 месец — окончателен доклад с анализ и мерки.

Какво иска МЕУ да види: Процедура за докладване, контакт на СЕРИКС в списъка за спешни случаи, шаблон за уведомление.

Преходен период и срокове

До 1 юни 2026 г. санкциите са намалени с 50% — законодателят дава време за привеждане в съответствие. След тази дата — пълни глоби.

Наредбата по чл.3, ал.2 ЗКС (детайлните технически изисквания) се очаква до октомври 2026 г. До тогава действат текущата наредба от 2019 г. и директните изисквания на чл.22.

Какво да направите сега?

Не чакайте проверка от МЕУ. Започнете с три стъпки:

  1. Безплатен AI скен на вашия публичен сайт — открива основните нарушения за секунди → avigentis.eu/app
  2. Свалете 48-точковия чеклист — покрива всички 12 мерки в 8 нормативни блока → Свали PDF
  3. Поръчайте одит — получавате доклад, който служи като доказателство за добросъвестност пред МЕУ → avigentis.eu/kontakt

Авигентис ЕООД е консултант по киберсигурност, не гарант. Отговорността за изпълнение на ЗКС се носи от субекта (чл.21 ЗКС).