„Ние не сме банка.“ „Нямаме чувствителни данни.“ Днес всеки бизнес е дигитален. И щом сте онлайн – вие сте отговорни.
Ще видим кои са задължителни, кои са специфични и кои често се пренебрегват – с реални примери, глоби и съвети как да реагирате навреме.
1. Закон за киберсигурност (обн. ДВ, бр. 94 от 2018 г.)
🔹 В сила от декември 2018 г. 🔹 Въведен на базата на NIS директивата на ЕС 🔹 Задължава оператори на основни услуги и доставчици на цифрови услуги да:
- Прилагат технически и организационни мерки за сигурност
- Докладват инциденти в рамките на 72 часа
- Поддържат политика за управление на риска
📌 Според Atlant Security, повечето компании нямат реален план за инциденти и не знаят какво трябва да докладват – до кого и кога. Това води до санкции, дори без реален пробив.
2. NIS2 – новата директива на ЕС (от 2023)
🔹 Въвежда се и в България чрез промени в Закона за киберсигурност 🔹 Разширява обхвата към:
- Образование, пощенски услуги, управление на отпадъци
- Доставчици на IT, IoT и облачни услуги 🔹 Въвежда лична отговорност на мениджърите 🔹 Налага:
- Задължителен одит
- Планове за непрекъсваемост
- Документирано обучение на персонала
💡 Съвет: ако сте SMB и попадате в списъка – действайте. Не чакайте писмо от регулатор.
3. Общ регламент за защита на данните (GDPR / НЗЛПД в България)
🔹 Чл. 32 задължава всеки администратор и обработващ лични данни да прилага:
- Подходящи технически и организационни мерки
- Криптиране, псевдонимизиране
- План за възстановяване при инцидент
🔹 Глоби:
- До 20 млн. евро или 4% от глобалния оборот (което е по-високо)
- Реални казуси в България – включително за малки фирми и болници
📌 Atlant Security обясняват защо повечето leak-ове се дължат не на зловреден софтуер, а на човешка грешка и липса на контрол на достъпа.
4. Закон за електронното управление
🔹 Засяга държавни и общински институции, но и техните доставчици 🔹 Изисква:
- Провеждане на одити
- Утвърдени правила за кибер хигиена
- Обмен на информация през сигурни канали
💡 Ако Вие сте подизпълнител на държавна поръчка – този закон Ви засяга косвено.
5. Секторни регулации (финанси, здравеопазване, енергетика)
🔹 Банкови институции – БНБ изисква ИС рамки по ISO 27001 и допълнителни изисквания за критична инфраструктура 🔹 Здравни институции – задължени по GDPR + ЗЗО 🔹 Енергийни оператори – НУРСБ и Европейската агенция за енергийно регулиране
📌 Ако попадате в някой от тези сектори – освен NIS2, се прилагат и по-строги национални регулации
6. ISO 27001, SOC 2, PCI DSS – не са закони, но стават условие
🔹 Ако работите с международни клиенти или в аутсорсинг 🔹 Ако искате да предлагате услуги на пазари като Германия, САЩ, UK
🛡️ ISO 27001 вече се изисква от редица банки и корпорации като базов критерий 📌 Atlant Security помагат на компании да се подготвят за сертификация – вижте техния подход
Какво да направите днес?
- Проверете дали попадайте под обхвата на горните регулации
- Определете критичните си системи и данни
- Назначете човек, отговорен за киберсигурността
- Направете GAP анализ или външен одит
- Внедрете поне базови мерки: MFA, логове, криптиране, политики
Законите няма да чакат, докато бизнесът Ви се увеличи. Те важат сега – независимо от размера, сектора или бюджета Ви. Киберсигурността вече не е конкурентно предимство. Тя е минимумът, за да останете на пазара.
