МИС2 — Мрежова и Информационна Сигурност

Обхват на директивата

За кого се отнася МИС2?

МИС2 разделя субектите на две категории: съществени (Приложение I) и важни (Приложение II). По правило в обхвата попадат средни и големи предприятия — над 50 служители или над €10 млн. годишен оборот — които оперират в един от 18-те сектора.

Съществени субекти Приложение I

⚡

Енергетика

Ток, газ, нефт, топлоснабдяване, водород

🚆

Транспорт

Въздушен, ж.п., воден, автомобилен

🏦

Банкова дейност

Кредитни институции

📊

Финансови пазари

Инфраструктура на пазара

🏥

Здравеопазване

Болници, лекарствени продукти

💧

Питейна вода

ВиК оператори

🌊

Отпадъчни води

Събиране и пречистване

☁️

Цифрова инфраструктура

DNS, TLD, облак, дата центрове, CDN

🛠️

ИКТ услуги (B2B)

Управлявани услуги, MSP / MSSP

🏛️

Публична администрация

Централно и регионално ниво

🛰️

Космически сектор

Наземна инфраструктура

Важни субекти Приложение II

📮

Пощи и куриери

Доставки и логистика

♻️

Управление на отпадъци

Събиране, третиране

⚗️

Химически продукти

Производство, търговия

🍞

Храни

Производство и дистрибуция

🏭

Производство

Медицински изделия, електроника, машини

🛒

Цифрови доставчици

Пазари, търсачки, социални мрежи

🔬

Научни изследвания

Научни организации

Имплементация

Айсбергът на истината

Повечето МИС2 проекти се провалят не заради липса на политики, а заради подценяване на това, което е под повърхността. Ето какво мениджмънтът очаква — и какво реално трябва да се случи.

💭 Какво си мислят

📝Ще напишем политики

✓Ще покрием изискванията

🔍Ще минем одит

✔️Ще сме съвместими

🏁Проектът приключва

🧊 Каква е реалността

МИС2 е промяна в начина, по който организацията работи, решава и се учи. Политиките са върхът; тежестта е в хората, процесите и веригата на доставки.

👥

Промяна в културата Съпротива, навици, липса на осъзнатост за риска в ежедневната работа.

🗂️

Управление и отговорности Неясни роли, размита отговорност между ИТ, сигурност и бизнес.

⚠️

Рискове във веригата на доставки Зависимост от трети страни, под-доставчици и SaaS платформи.

💾

Данни и активи Непълна видимост, липса на ясна собственост и класификация.

⚙️

Техническа сложност Интеграции, остарели системи, натрупан технологичен дълг.

🧑‍💻

Хора и умения Недостиг на експертиза, нужда от обучение и задържане на таланти.

🔄

Непрекъснатост и устойчивост Тестване, планиране, ресурси за възстановяване при криза.

📈

Метрики и доказателства Събиране на данни, проследимост, одитна следа.

♾️

Непрекъснат процес Не е еднократен проект, а постоянно поддържане и подобряване.

⚖️

Санкции и репутационен риск Глоби, загуба на доверие, пряк бизнес ефект при несъответствие.

Изводът: МИС2 съответствието е бизнес трансформация, не хартиен проект. Успехът зависи от това дали организацията е готова да промени културата и оперативните си навици — а не само да попълни документи.

Структура на директивата

Ключови области и задължения

Директивата налага пет основни области, около които се изграждат минимум 10 технически и организационни мерки (Член 21). Кликнете, за да разгледате всяка област.

Ръководният орган одобрява мерките за управление на риска и носи персонална отговорност за тяхното изпълнение. Членовете на ръководството са длъжни да преминават редовно обучение по киберсигурност и да гарантират, че и служителите получават съответстващо обучение.

Одобрение от ръководствотоОбучениеПерсонална отговорностНадзор

📖 Директива (ЕС) 2022/2555, Член 20

Задължителни са минимум 10 мерки: политики за анализ на риска и сигурност, обработка на инциденти, непрекъснатост на дейността и управление на кризи, сигурност на веригата на доставки, сигурност при придобиване и разработка на системи, оценка на ефективността на мерките, базова киберхигиена и обучение, политики за криптография и криптиране, сигурност на персонала и контрол на достъпа, многофакторна автентикация и защитени комуникации.

10 меркиРиск анализКриптографияMFAКиберхигиена

📖 Член 21 · Изпълнителен регламент (ЕС) 2024/2690

Значимите инциденти се докладват в три стъпки: ранно предупреждение в рамките на 24 часа, нотификация с оценка в рамките на 72 часа, финален доклад в рамките на 1 месец. Задължително се уведомяват CSIRT и компетентният орган, а при определени случаи — и получателите на услугата.

24ч / 72ч / 1мCSIRTКомпетентен органФинален доклад

📖 Член 23 · Изпълнителен регламент (ЕС) 2024/2690

Организациите отговарят за сигурността не само на собствените си системи, но и на отношенията с преките доставчици и доставчиците на услуги. Оценката включва качеството на продукти, практики за сигурно разработване и уязвимости, установени на ниво ЕС за критичните вериги.

Due DiligenceДоговорни клаузиИКТ доставчициОценка на ЕС

📖 Член 21, алинея 2, буква „г"

Субектите в обхвата са задължени да се регистрират пред компетентния орган в България с конкретни данни за организацията, услугите и точките за контакт. Съществените субекти са под проактивен надзор (инспекции, одити), докато важните субекти — под реактивен надзор. Глобите достигат до €10 млн. или 2% от оборота за съществени субекти и до €7 млн. или 1,4% за важни.

РегистрацияПроактивен надзорРеактивен надзорСанкции

📖 Членове 3, 27, 32–34

Практически инструмент

Интерактивен чеклист за съответствие

Маркирайте изпълнените изисквания. Прогресът се показва в реално време. Чеклистът покрива минималните 10 мерки по Член 21 и основните задължения по Членове 20 и 23.

Изискване	Област	Статус
Мерки за управление на риска, одобрени от ръководния орган	Управление	Задължително
Редовно обучение по киберсигурност за ръководството и персонала	Управление	Задължително
Политика за анализ на риска и сигурност на информацията	Риск (Чл. 21)	Задължително
Процедури за обработка на инциденти	Риск (Чл. 21)	Задължително
План за непрекъснатост, резервни копия и възстановяване при аварии	Риск (Чл. 21)	Задължително
Мерки за сигурност при придобиване, разработка и поддръжка на системи	Риск (Чл. 21)	Задължително
Политики за оценка на ефективността на мерките	Риск (Чл. 21)	Задължително
Базова киберхигиена и обучение	Риск (Чл. 21)	Задължително
Политики за криптография и криптиране	Риск (Чл. 21)	Задължително
Сигурност на персонала, контрол на достъпа, управление на активи	Риск (Чл. 21)	Задължително
Многофакторна автентикация (MFA) и защитени комуникации	Риск (Чл. 21)	Задължително
Ранно предупреждение за значим инцидент (до 24 часа)	Инциденти	Задължително
Нотификация с оценка на инцидента (до 72 часа)	Инциденти	Задължително
Финален доклад за инцидент (до 1 месец)	Инциденти	Задължително
Регистър на ИКТ доставчици и договорни клаузи за сигурност	Доставчици	Задължително
Due diligence на критични доставчици във веригата	Доставчици	Задължително
Регистрация пред компетентния орган (самоидентификация)	Надзор	Задължително
Актуални точки за контакт и данни за CSIRT комуникация	Надзор	Задължително

Изпълнени: 0 / 18

Прогрес

Поискайте пълен одит →

Регулаторна времева линия

Ключови дати и срокове

Декември 2020

Предложение на Европейската комисия

Комисията предлага ревизия на първата Директива NIS (2016/1148) с разширен обхват и по-строги задължения.

Декември 2022

Официално приемане от ЕП и Съвета

Директива (ЕС) 2022/2555 е приета и публикувана в Официален вестник на ЕС на 27 декември 2022 г.

16 Януари 2023

Влизане в сила

Директивата влиза в сила. Държавите-членки имат 21 месеца за транспониране в националното законодателство.

17 Октомври 2024

Краен срок за транспониране

Държавите-членки са длъжни да приемат и публикуват националните актове за транспониране на директивата.

18 Октомври 2024

Начало на прилагане

Първа NIS (2016/1148) е отменена. МИС2 задълженията се прилагат за субектите в обхвата.

17 Октомври 2024

Изпълнителен регламент 2024/2690

Комисията приема изпълнителен акт с технически изисквания за определени категории субекти (напр. облачни доставчици, MSP).

17 Април 2025

Списъци на съществени и важни субекти

Държавите-членки съставят и до тази дата изпращат на Комисията списъци на идентифицираните субекти (поддържат се актуални).

2025 – 2026 · текуща

Транспониране в България

Националните актове за транспониране се приемат и хармонизират. Организациите трябва да преминат към съответствие съобразно актуалната национална рамка.

2026 · текуща

Активен надзор и правоприлагане

Компетентните органи провеждат инспекции и одити. Очакват се първите сериозни санкции за неспазване на изискванията.

2026–2027

Разширяване на секторния обхват

Държавите-членки актуализират списъците на субекти и допълнителни секторни указания се публикуват от националните CSIRT и компетентните органи.

Последни новини

Актуализации по МИС2

2026

България

Надзорна дейност и първи инспекции

Компетентните органи провеждат проверки на съществени и важни субекти. Организациите са в активна фаза на привеждане в съответствие.

2026

ENISA

Актуализирани насоки и инструменти

ENISA публикува периодично насоки, добри практики и инструменти в помощ на субектите, попадащи в обхвата на директивата.

2025 – 2026

България

Транспониране в националното законодателство

България работи по приемане и хармонизиране на национални актове за транспониране на МИС2. Следете официалните източници за актуалния статус.

Ноем. 2024

Комисия

Процедури за нарушения срещу закъснели държави-членки

Европейската комисия стартира процедури за нарушение срещу държави-членки, които не са транспонирали директивата в срок.

Окт. 2024

ЕС

Изпълнителен регламент (ЕС) 2024/2690

Комисията публикува технически и методологични изисквания за мерките по Член 21 за облачни доставчици, MSP, CDN, онлайн пазари и други цифрови доставчици.

Окт. 2024

ЕС