Обнародваните на 13 февруари 2026 г. изменения и допълнения на Закона за киберсигурност пренареждат основно очакванията към публичния сектор. Ако досега киберсигурността в много общини се възприемаше като набор от технически мерки, сега новата уредба я поставя в центъра на управлението на риска, непрекъснатостта на услугите и публичната отчетност. Този завой не е абстрактен – законът изрично определя, че изискванията се отнасят до административните органи, а те се квалифицират като „съществени субекти“ за целите на закона.
За общините това има практическо значение, защото общинската администрация е мястото, където се концентрират електронни услуги, регистри, обмен на данни, работа с лична информация и критични процеси за гражданите и бизнеса. Оттук нататък киберинцидентът не е „техническа авария“, а събитие с потенциал да наруши предоставянето на административни услуги, да компрометира данни и да предизвика контролни действия от компетентните органи. В този смисъл законът изрично изисква ръководството да одобрява мерките за управление на риска и да следи за прилагането им – киберсигурността се превръща в задължение на ръководството, а не само на ИТ отдела.
Една от най-съществените промени е въвеждането на двустепенна класификация, „съществени“ и „важни“ субекти, като административните органи попадат сред съществените.
Това означава по-висока интензивност на надзор и по-силен натиск за доказване на съответствие. Общината не просто трябва да „има мерки“, а да може да демонстрира, че те са подходящи и пропорционални на риска, основани на стандарти и добри практики, и че реално функционират. Самата философия на закона е технологично неутрална – не се налага конкретен продукт или платформа – но се изисква резултат – ниво на сигурност, съответстващо на риска, подкрепено с процеси, документация и контрол.
Сърцето на новия режим е уредбата на „мерките за управление на риска в областта на киберсигурността“. Законът описва широк спектър от технически, оперативни и организационни мерки, които за общините на практика се превръщат в минимален управленски стандарт. Тук попадат политиките за анализ на риска и сигурност на системите, действията при инцидент, непрекъснатост на дейността (включително резервни копия и възстановяване), управление на кризи, сигурност на веригите за доставка и зависимостите от доставчици, уязвимости и оповестяването им, оценяване на ефективността на мерките, киберхигиена и обучения, криптографски политики, контрол на достъпа и управление на активите, многофакторна автентикация и сигурни комуникации, както и управление на измененията в информационните активи.
Това изброяване е важно не като „чеклист“, а като промяна в начина, по който общините трябва да планират и управляват дигиталния си риск. Най-видимият разрив с досегашната практика е акцентът върху веригата за доставка и доставчиците. Общинските информационни системи масово се поддържат от външни изпълнители – софтуерни фирми, хостинг доставчици, интегратори, поддръжка на мрежа и работни станции. Законът изисква общината да отчита уязвимостите на преките доставчици, „качеството на продуктите и практиките“ им по киберсигурност и да интегрира този риск в мерките си.
На практика това неизбежно води до нов стандарт в обществените поръчки и договорите за поддръжка – критерии за сигурно разработване, изисквания за логове и мониторинг, SLA за инциденти, правила за отдалечен достъп, задължение за уведомяване и съдействие при инцидент. Законът също свързва стратегическата рамка с политики за включване на изисквания за киберсигурност при възлагане на обществени поръчки, включително сертифициране, криптиране и използване на решения с отворен код, когато е приложимо.
Втората голяма практическа промяна е строгият режим за докладване на значителни инциденти. За общините това е критично, защото те предоставят услуги към широк кръг ползватели – граждани, фирми, институции. Законът изисква уведомяване на секторния екип за реагиране (СЕРИКС) за всеки значителен инцидент по образец и процедура, а сроковете са кратки – ранно предупреждение до 24 часа от установяване, уведомление до 72 часа (с първоначална оценка и техническа информация), междинен доклад при поискване и окончателен доклад не по-късно от един месец след уведомлението.
Наред с това, когато е подходящо и без ненужно забавяне, общината трябва да уведомява и получателите на услугите си за значителни инциденти, които вероятно неблагоприятно ще ги засегнат, а при значителна киберзаплаха – да посочва мерки и средства за защита, които те могат да предприемат.
Тези задължения предполагат готовност не само за техническа реакция, но и за публична комуникация – предварително изработени шаблони, канали, отговорности и решение „кой говори“ от името на общината в кризисна ситуация.
Към това се добавя и новият режим на регистриране. Министърът на електронното управление създава и поддържа регистър на субектите по закона, който съдържа, наред с наименованието и контактите, и IP обхвати, както и секторни данни, когато е приложимо.
Регистърът не е публичен, но изискването за точни данни е много съществено – община, която не може да посочи коректни контактни точки, обхвати и отговорници, влиза в режим на организационна уязвимост – особено при инцидент, когато времето е решаващо. Законът предвижда и кратък срок за уведомяване при промяна на подадени данни – до две седмици от промяната.
Когато говорим за общини, най-големият риск рядко е липсата на хардуер или софтуер, а отсъствието на огранизирана система – какво защитаваме, кой е собственик на системите, как се управлява достъпът, как се правят промени, къде са резервните копия и тествани ли са, как работи реакцията при инцидент, какъв е планът за възстановяване на ключови услуги. Законът превръща тази системност в обект на контрол. Новата глава за контрол дава правомощия за планови и извънпланови проверки на място или дистанционно, редовни и целеви одити, изискване на документирани политики, достъп до данни и доказателства за изпълнение, включително резултати от одити и подкрепящи доказателства.
За съществените субекти (където попадат административните органи) инструментариумът на надзора е по-широк, което логично означава, че общините трябва да възприемат „audit-ready“ култура – не само да изпълняват изискванията, но и да могат да го докажат.
Надзорните органи разполагат и с набор от възможни мерки – предупреждения, задължителни предписания и разпореждания, включително разпореждания за привеждане на мерките в съответствие, за изпълнение на задълженията за докладване по конкретен начин и в срок, за уведомяване на потенциално засегнати лица, както и – при определени условия – разпореждане да бъде обявено публично извършеното нарушение.
Точно тук общинският риск излиза извън правната рамка и става репутационен – публичното доверие е част от капацитета на местната власт да управлява кризи, а публичността за нарушение е тежък удар в момент, когато гражданите очакват стабилни и сигурни услуги.
Санкционната рамка също е променена чувствително. Законът предвижда съществени глоби/имуществени санкции за неизпълнение на административни мерки, като при рецидив размерите нарастват.
Важен детайл за общините е, че най-тежката имуществена санкция, свързана с глобалния оборот (типична за частния сектор), не се прилага за „съществени субекти, които са административни органи“.
Това обаче не означава „изключение“ – остава рискът от санкции по други състави на закона, от задължителни предписания, от проверки и от персонална отговорност. Законът предвижда глоба за ръководителите на административните органи при нарушение на изискванията за управленско одобряване и надзор върху мерките.
За ранния период има предвидено смекчение – за нарушения, извършени до 1 юни 2026 г., санкциите са в размер, намален с 50%. Това е временно и по-скоро подсказва законодателно очакване за бърза реакция, отколкото „толеранс“.
Преходните срокове за подзаконовата рамка и методиките са ясни. Министерският съвет има конкретни срокове за взимане на решение относно административните органи по чл. 16 и за методиката за определяне на съществени/важни субекти, за наредби относно минимални мерки за определени категории, за актуализиране на наредби и за приемане на Национална стратегия за киберсигурност.
Паралелно с това националните компетентни органи имат срок за определяне на съществените и важните субекти и уведомяване на министъра на електронното управление.
За общините това означава динамична среда, в която ще се появяват допълнителни конкретизации и очаквания. Точно затова „еднократно“ действие не е достатъчно. Необходимо е проектно внедряване, което да остави общината в устойчив режим на съответствие и подобрение.
Като управленски извод – новата рамка не може да бъде изпълнена само с покупка на хардуер или с „външна ИТ поддръжка“ в традиционния смисъл. Изисква се интеграция между правното тълкуване на задълженията, управлението на процесите и реалната техническа архитектура на общината. Нещо повече – законът поставя акцент върху доказателствата за изпълнение – политики, процедури, обучение, тестове, измерване на ефективността, управление на доставчици, готовност за проверки и дисциплина при докладване.
Това е класически профил на организационна трансформация, в която вътрешният общински капацитет често е ограничен от недостиг на специалисти, зависимост от доставчици и наследени системи.
В този контекст необходимостта от целенасочена консултантска услуга не е „лукс“, а инструмент за бързо и устойчиво привеждане в съответствие. Логичният модел е законът да се трасформира в работеща система – оценка на текущото състояние спрямо изискванията, дизайн на управлението на киберриска (роли, отговорности, отчетност), пакети от политики и процедури, договорни и стандартизирани шаблони за управление на доставчиците, внедряване на минимална техническа база и критично важно, изграждане на готовност за инциденти с упражняване на сценарии и доказателствена пътека за контрол. Всичко това следва директно от изискванията на закона за мерките, докладването и контрола.
Точно тук ролята на АБГР може да бъде формулирана като обществено полезна – като мост между нормативното изискване и общинската практика. За общините най-голямата стойност не е в „общи препоръки и анализи“, а в приложими решения, които отчитат реалните ограничения на местната администрация и водят до измерим резултат – сигурни и непрекъсваеми услуги за гражданите, по-нисък риск от инциденти и способност за реакция в сроковете, предвидени в закона, както и готовност за проверки и предписания.
В крайна сметка, измененията от февруари 2026 г. поставят общините пред нова реалност – киберсигурността вече е част от доброто управление, както финансовият контрол или защитата на личните данни. В този смисъл печели не онзи, който „ще направи нещо“, а този, който ще изгради системата, която може да бъде управлявана, проверявана и подобрявана. Законът дава рамката – предизвикателството е пред нас.

Александър Захариев
Експерт киберсигурност
Експертен съвет на АБГР

Актуално към: 18.02.2026 г.

Настоящата публикация има информативен и аналитичен характер и не представлява правен съвет, официално тълкуване или становище на държавен орган. Анализът е подготвен въз основа на официално обнародвания нормативен текст в Държавен вестник (ДВ, бр. 17 от 13.02.2026 г.).
Възможно е последващо изменение/допълване на нормативната уредба или приемане на подзаконови актове, които да прецизират приложението ѝ. Читателите следва да се позовават на актуалната официална редакция и при необходимост да потърсят специализирана правна/техническа консултация, съобразена с конкретния контекст на съответната община/организация.
Публикацията съдържа препоръки от общ характер и не може да обхване всички специфики на отделните информационни системи, договорни отношения и организационни модели. Авторът/издателят не поема отговорност за вреди или пропуснати ползи, произтичащи от използването на информацията без допълнителна експертна проверка.

© АБГР, 2026. Разрешено цитиране с посочване на източника и активен линк.

закон за киберсигурност 2026, изменения закон за киберсигурност, ДВ бр. 17 2026, държавен вестник бр. 17 13.02.2026, киберсигурност общини, общини България киберсигурност, NIS2 общини, NIS2 България 2026, управление на киберриска община, мерки за киберсигурност община, докладване на киберинциденти община, инциденти киберсигурност публичен сектор, контрол киберсигурност общини, санкции закон за киберсигурност, киберустойчивост общински услуги, сигурност на електронните услуги община, управление на доставчици киберсигурност община, многофакторна автентикация община, план за непрекъсваемост община, резервни копия възстановяване община