# Atlant Security > Atlant Security e консултантска фирма по киберсигурност, базирана в Аламеда, Калифорния. Предоставяме одити на ИТ сигурността, тестове за проникване (пентест), готовност за съответствие (SOC 2, ISO 27001, CMMC, HIPAA), услуги за виртуален CISO и консултации по облачна сигурност за средни компании и SaaS стартъпи. Основана от бивш член на екипа за консултации по сигурността на Microsoft. Над 200 одитирани компании в 14 държави от 2013 г. ## Основни страници - [Услуги](https://atlantsecurity.bg/services): Пълен каталог на услуги по киберсигурност - [Одит на ИТ сигурността](https://atlantsecurity.bg/it-security-audit): Цялостни оценки на сигурността, доставени за 14 дни - [Виртуален CISO](https://atlantsecurity.bg/virtual-ciso-services): Частично ръководство по сигурността (vCISO) - [Готовност за SOC 2](https://atlantsecurity.bg/soc-2-readiness): Подготовка за одит по SOC 2 Type II - [Облачна сигурност](https://atlantsecurity.bg/cloud-security-consulting): Одити на сигурността за AWS, Azure, GCP - [Оценка на уязвимости](https://atlantsecurity.bg/vulnerability-assessment): Техническа идентификация на уязвимости - [Тестове за проникване](https://atlantsecurity.bg/services/web-penetration-testing): Уеб, API, мрежови, облачни, мобилни пентестове - [Блог](https://atlantsecurity.bg/blog): Изследвания, ръководства и анализи по киберсигурност - [За нас](https://atlantsecurity.bg/about): Информация за компанията и екипа - [Контакт](https://atlantsecurity.bg/contact): Свържете се с нас за консултация --- ## Подробни услуги ### Одит на ИТ сигурността **URL**: https://atlantsecurity.bg/it-security-audit **Описание**: Разкрийте всяка пролука в сигурността. Получете план за отстраняване стъпка по стъпка за 14 дни. **Какво оценяваме**: - Кой до какво има достъп - и дали бивши служители все още имат ключовете към кралството - Дали вашата облачна конфигурация (AWS, Azure, M365, GCP) има грешни настройки, които атакуващите експлоатират ежедневно - Дали вашият екип би разпознал фишинг имейл - или би кликнал на линка и предал идентификационните данни - Дали вашите резервни копия наистина работят и колко бързо бихте се възстановили от рансъмуер - Как вашата компания би реагирала, ако бъде пробита утре - и дали някой знае плана - Дали вашите лаптопи, телефони и сървъри са конфигурирани да устоят на съвременни атаки - Дали вашите политики за пароли, MFA и вход отговарят на стандарта, който вашите клиенти и одитори очакват - Дали чувствителните данни са криптирани при пренос и в покой - или са изложени - Как вашите доставчици и подизпълнители могат да станат най-слабото ви звено - Дали вашият Microsoft 365 е защитен по всичките 280+ настройки - повечето компании използват по-малко от 30% - Дали вашите разработчици доставят сигурен код или въвеждат уязвимости с всяко издание - Пълната ви позиция по съответствие, картографирана спрямо SOC 2, NIST, ISO 27001, CMMC или HIPAA **Често задавани въпроси**: **В: Какво е одит на ИТ сигурността?** О: Одитът на ИТ сигурността е систематична оценка на информационно-технологичните системи, политиките за сигурност, оперативните процедури и техническите контроли на вашата организация - измерени спрямо установена рамка като NIST 800-53, SOC 2, ISO 27001 или CMMC. Целта е да се идентифицират пропуските между текущата ви позиция по сигурност и стандарта, който трябва да постигнете, и след това да се изготви конкретен, приоритизиран план за отстраняване. **В: Колко време отнема одитът на ИТ сигурността?** О: Atlant Security доставя пълния одит на ИТ сигурността - всичките шест резултата - в рамките на 14 дни от стартовото обаждане. Това покрива всичките 20 домейна за сигурност по NIST 800-53. За големи, сложни среди сроковете може да се удължат до 3-4 седмици. **В: Каква е разликата между одит на ИТ сигурността и тест за проникване?** О: Тестът за проникване пита: 'Може ли атакуващ да проникне?' Одитът на ИТ сигурността пита: 'Адекватни и пълни ли са нашите контроли за сигурност?' Повечето организации се нуждаят и от двете. **В: Какви резултати получавам?** О: Шест цялостни резултата: (1) Цялостен преглед на контролите за сигурност, (2) План за програма за информационна сигурност с пътна карта месец по месец, (3) Резюме за ръководството, (4) Доклад с технически констатации, (5) Матрица на пропуските в съответствието, и (6) Интерактивни консултантски сесии. **В: Какви рамки покрива вашият одит?** О: SOC 2 (Type I и Type II), NIST 800-53 (20 домейна), NIST 800-171, CMMC, ISO 27001:2022, HIPAA Security Rule и PCI DSS. **В: Колко струва одитът на ИТ сигурността?** О: Цената варира в зависимост от размера на организацията и обхвата. Предоставяме предложения с фиксирана цена в рамките на 24 часа от безплатното обаждане - без почасово таксуване. **В: По какво Atlant Security се различава от други одиторски фирми?** О: Три разлики: (1) дълбочина на методологията - всичките 20 домейна на NIST 800-53 спрямо всяка релевантна рамка едновременно, (2) качество на резултатите - истинска пътна карта месец по месец, (3) произход - основана от бивш член на екипа за консултации по сигурност на Microsoft с 14-дневен срок и фиксирана цена. --- ### Оценка на уязвимости **URL**: https://atlantsecurity.bg/vulnerability-assessment **Описание**: Открийте слабостите преди хакерите. 14 области на оценка с приоритизиран план за отстраняване. **Области**: - Управление на пароли и достъп - Контроли за ограничаване на атаки - Осведоменост и обучение по сигурност - Конфигурация на облачна сигурност - Укрепване на ИТ инфраструктурата - Програма за управление на уязвимости - Сигурност на имейл и комуникации - Готовност за тестове за проникване - Сигурна разработка на софтуер (SDLC) - Политики и процедури за сигурност - Сигурен отдалечен достъп - Привеждане в съответствие със Zero Trust архитектура - Разширена защита на крайни точки - Мониторинг и откриване на заплахи - Оценка на мрежови уязвимости (периметър и вътрешни) **Често задавани въпроси**: **В: Каква е разликата между сканиране и оценка на уязвимости?** О: Сканирането е автоматизиран инструмент. Оценката е консултантска услуга, ръководена от старши експерти, която добавя експертен анализ, бизнес контекст и приоритизиран план за отстраняване. **В: Колко време отнема?** О: Между 10 и 14 дни. --- ### Одит на сигурността на SaaS **URL**: https://atlantsecurity.bg/saas-security-audit **Описание**: Специализирана оценка на сигурността за SaaS платформи и мулти-тенант архитектури. **Области**: Преглед на мулти-тенант изолацията, Оценка на архитектурата за сигурност на API, Одит на сигурността на CI/CD конвейера, Преглед на криптиране на данните и управление на ключовете, Оценка на контрола на достъпа и IAM **Често задавани въпроси**: **В: Колко струва?** О: Типична SaaS компания от серия А плаща 4 600-11 000 EUR. Фиксирана цена без почасово таксуване. **В: Колко време отнема?** О: Приблизително 2 седмици от началото. --- ### Консултации по облачна сигурност **URL**: https://atlantsecurity.bg/cloud-security-consulting **Описание**: Стратегически насоки за осигуряване на вашата AWS, Azure или GCP инфраструктура. **Области**: - Преглед на Microsoft 365 (280+ настройки за сигурност) - Оценка на сигурността на AWS (IAM, S3, EC2, VPC, CloudTrail, GuardDuty) - Оценка на сигурността на Azure (Entra ID, Defender, Sentinel, Key Vault) - Оценка на сигурността на GCP (IAM, Storage, Compute, GKE) - Стратегия за управление на идентичност и достъп (IAM) - Управление на позицията за облачна сигурност (CSPM) - Сигурност на безсървърни и контейнерни (Kubernetes) среди - Автоматизирани защитни ограничения и политика като код - Планиране на сигурността при облачна миграция - Стратегия за защита на данните и управление на ключовете (KMS) - Преглед на мрежовата сегментация и групите за сигурност - Спешна оценка и укрепване след пробив **Често задавани въпроси**: **В: Колко струва оценка на облачната сигурност?** О: Оценките за единична платформа (AWS, Azure или Microsoft 365) започват от 3 700 EUR и обикновено отнемат 5-10 работни дни. **В: Имате ли вътрешна експертиза от Microsoft?** О: Да. Нашият основател е бивш член на екипа за консултации по сигурността на Microsoft. --- ### Оценка на сигурността на AWS **URL**: https://atlantsecurity.bg/aws-security-assessment **Описание**: Задълбочен технически преглед на вашата среда в Amazon Web Services. **Области**: Одит на S3 Bucket и хранилище за данни, Преглед на сигурността на EC2 и Lambda, Анализ на VPC и мрежовата сигурност, Оптимизация на CloudTrail и GuardDuty, Преглед на принципа за минимални привилегии в AWS IAM **Често задавани въпроси**: **В: Колко струва?** О: Одитът на среда с един AWS акаунт обикновено струва 2 800-6 400 EUR като ангажимент с фиксирана цена. **В: Изисква ли одитът IAM идентификационни данни?** О: Не. Целият одит се провежда чрез сесии за споделяне на екрана с вашите екипи. --- ### vCISO услуги - Виртуален CISO като услуга **URL**: https://atlantsecurity.bg/virtual-ciso-services **Описание**: Получете виртуален CISO (vCISO) за 60% по-малко от щатен служител. Готовност за одит по SOC 2, ISO 27001, HIPAA и CMMC за 90 дни. **Какво включва**: - Знайте точно къде са пропуските ви в сигурността в рамките на първите 30 дни - Бъдете готови за одит по SOC 2, ISO 27001 или HIPAA за 90 дни - Спрете да плащате прекалено за инструменти за сигурност, които екипът ви не използва пълноценно - Давайте на борда ясни, нетехнически доклади за позицията ви по сигурност - Укрепете вашия Microsoft 365 или Google Workspace по 280+ настройки - Обучете всеки служител да разпознава фишинг и атаки чрез социално инженерство - Имайте експерт на повикване при инцидент - не след него - Преминавайте въпросници за сигурност на клиенти и дю дилиджънс с увереност **Често задавани въпроси**: **В: Колко струва виртуален CISO?** О: 60-80% по-малко от щатен CISO. Три нива: SMB от 3 000 EUR/месец, Mid-Market от 5 400 EUR/месец, Enterprise от 11 000 EUR/месец. **В: Колко бързо може vCISO да ни направи съвместими?** О: Обикновено целим готовност за одит по SOC 2 или ISO 27001 в рамките на 90 дни. **В: Vendor-agnostic ли е Atlant Security?** О: Да. 100% vendor-agnostic. Не продаваме софтуер и не приемаме комисионни. **В: Какви рамки може vCISO да ни помогне да покрием?** О: SOC 2, ISO 27001, HIPAA, PCI DSS, NIST 800-171, CMMC, HITRUST и GDPR. --- ### CISO на непълно работно време **URL**: https://atlantsecurity.bg/services/part-time-ciso **Описание**: Частично ръководство на сигурността без заплатата от 300K EUR. **Области**: Управление на програмата за сигурност, Готовност за съответствие (SOC 2, ISO 27001, HIPAA), Доклади за борда на директорите, Управление на риска от доставчици, Планиране на реакция при инциденти --- ### CISO за SaaS **URL**: https://atlantsecurity.bg/services/saas-ciso **Описание**: Ръководство на сигурността, създадено за SaaS компании. Готовност за SOC 2, сигурност на API, DevSecOps и доверие от корпоративни клиенти. --- ### Виртуален CISO за финтех **URL**: https://atlantsecurity.bg/services/fintech-virtual-ciso **Описание**: Ръководство на сигурността за финтех. PCI DSS, SOC 2, DORA, FCA, GLBA съответствие. --- ### Готовност за SOC 2 **URL**: https://atlantsecurity.bg/soc-2-readiness **Описание**: Подгответе вашата организация за успешен одит по SOC 2 Type I или Type II. **Области**: - Цялостен анализ на пропуски за SOC 2 - Внедряване и картографиране на контроли - Разработка на персонализирани политики и документация - Поддръжка при събиране и управление на доказателства - Оценка на готовността преди одит - Поддръжка при избор на одитор и връзка с него - Настройка на непрекъснат мониторинг на съответствието - Обучение за киберсигурност на персонала **Често задавани въпроси**: **В: Колко време отнема подготовката за SOC 2?** О: Нашата оценка отнема 1 седмица. След прилагане на пътната карта одит по Type I може да бъде завършен за 4-8 седмици. **В: Колко струва?** О: Типична SaaS компания плаща 2 800-5 500 EUR за оценката на готовност. Самият одит обикновено струва 13 800-46 000 EUR. **В: Каква е разликата между Type I и Type II?** О: Type I оценява дизайна на контролите в конкретен момент. Type II оценява оперативната ефективност за период от 6-12 месеца. Корпоративните клиенти обикновено изискват Type II. **В: Има ли припокриване между SOC 2 и ISO 27001?** О: Приблизително 70-80% от контролите се припокриват. Можем да картографираме и двата стандарта едновременно. **В: Всеки клиент на Atlant Security преминал ли е одита от първия опит?** О: Да. Всеки клиент, подготвен от Atlant Security, е преминал одита си от първия опит. --- ### API пентест (тест за проникване) **URL**: https://atlantsecurity.bg/services/api-penetration-testing **Описание**: Задълбочен анализ на сигурността на REST, GraphQL и gRPC крайни точки. **Области**: Тестване на BOLA (Broken Object Level Authorization), Анализ на Mass Assignment и прекомерно разкриване на данни, Оценка на ограничаване на скоростта и изчерпване на ресурсите, Тестване на сигурността на JWT и Auth Token, Тестване на GraphQL интроспекция и дълбочина, Преглед на сигурността на gRPC протокола, Идентификация на пропуски в бизнес логиката, Преглед на API документация (Swagger/OpenAPI), Тестване за SSRF, Анализ на сигурността на OAuth и SSO --- ### Пентест на уеб приложения **URL**: https://atlantsecurity.bg/services/web-penetration-testing **Описание**: Пентест на уеб приложения -- ръчно тестване за OWASP Top 10, XSS, SQLi и бизнес логика. **Области**: OWASP Top 10 цялостно тестване, Тестване на сложна бизнес логика, Преглед на сигурността от клиентска страна (React/Angular/Vue), Анализ на управление на сесии и автентикация, Тестване на IDOR, Тестване за XSS и инжекции, Преглед на заглавия за сигурност и конфигурация, Анализ на уязвимости в библиотеки на трети страни, Тестване за CSRF и SSRF, Преглед на качване на файлове и валидация на входни данни --- ### SaaS пентест (тест за проникване) **URL**: https://atlantsecurity.bg/services/saas-penetration-testing **Описание**: SaaS пентест -- тестване на изолацията между клиенти и анализ на уязвимости. **Области**: Тестване на мулти-тенант изолация и изтичане на данни, Тестване за неоторизиран достъп между клиенти, Укрепване на административна конзола и суперпотребител, Преглед на логика за абонаменти и фактуриране, Анализ на сигурността на SaaS API, Преглед на IAM, Одит на конфигурацията на облачната инфраструктура, Тестване на SSO и федерация (SAML/OAuth/OIDC) --- ### Пентест на мобилни приложения **URL**: https://atlantsecurity.bg/services/mobile-penetration-testing **Описание**: iOS и Android, включително бинарен анализ и API тестване. **Области**: Статичен бинарен анализ (SAST), Динамичен анализ по време на изпълнение (DAST), Тестване за несигурно съхранение на данни, Идентификация на слабо криптиране, Преглед на Certificate Pinning и SSL/TLS, Тестване за заобикаляне на Jailbreak и Root детекция, Оценка на сигурността на мобилно API, Анализ на изтичане на чувствителна информация, Преглед на обратно инженерство и защита от манипулация, Пълно покритие на OWASP Mobile Top 10 --- ### Мрежови пентест (тест за проникване) **URL**: https://atlantsecurity.bg/services/network-penetration-testing **Описание**: Външно и вътрешно тестване на мрежовата сигурност със симулация на атаки срещу Active Directory. **Области**: Тестване на външния периметър, Вътрешна оценка на мрежата, Симулация на атаки срещу Active Directory, Тестване на безжична сигурност, Валидация на мрежова сегментация, Тестване за заобикаляне на Firewall и IDS/IPS, Тестване на VPN и отдалечен достъп, Странично придвижване и ескалация на привилегии, Тестване за пръскане на пароли и идентификационни данни --- ### Облачен пентест (тест за проникване) **URL**: https://atlantsecurity.bg/services/cloud-penetration-testing **Описание**: Тестване за сигурност на AWS, Azure и GCP среди, включително IAM, контейнери и безсървърни услуги. **Области**: Тестване на конфигурации за AWS/Azure/GCP, Тестване на IAM и ескалация на привилегии, Анализ на експониране на Storage Bucket/Blob, Сигурност на контейнери и Kubernetes, Преглед на сигурността на безсървърни функции, Тестване на облачна мрежова архитектура, Оценка на сигурността на CI/CD конвейера, Тестване между акаунти/тенанти, Преглед на управление на тайни, Валидация на облачно логване и мониторинг --- ### Сигурност за стартъпи **URL**: https://atlantsecurity.bg/services/security-for-startups **Описание**: Персонализирани пакети за сигурност за стартъпи в ранен етап. **Области**: Начална оценка на базово ниво на сигурност, Основни шаблони за политики, Поддръжка при въпросници за сигурност от доставчици, Основно укрепване на IAM и облачна сигурност, Обучение за сигурност, Пътна карта за готовност за SOC 2, Насоки за сигурен SDLC за разработчици, Тримесечна синхронизация на стратегията за сигурност --- ### Реакция при инциденти 24/7 **URL**: https://atlantsecurity.bg/services/incident-response-24-7 **Описание**: Бърза реакция и ограничаване при пробиви в сигурността и активни заплахи. **Области**: Незабавно ограничаване и изолация на пробива, Дигитална криминалистика и анализ на първопричината, Анализ на зловреден софтуер и обратно инженерство, Поддръжка при преговори за рансъмуер и възстановяване, Помощ при регулаторно и правно уведомяване, Отстраняване и укрепване след инцидент, Поддръжка при кризисна комуникация, 24/7 достъп до спешна линия --- ### Възстановяване на хакнат имейл **URL**: https://atlantsecurity.bg/services/hacked-email-recovery **Описание**: Специализирана услуга за възстановяване и защита на компрометирани имейл акаунти (Microsoft 365, Google Workspace). **Области**: Възстановяване на акаунт и смяна на пароли, Укрепване на MFA, Одит на правила за пощенска кутия и препращане, Премахване на зловредни OAuth приложения, Анализ на достъп до данни и ексфилтрация, Разследване на BEC и анализ на първопричината, Преглед на конфигурацията на имейл сигурността, Обучение на потребителя за сигурност --- ### Дю дилиджънс по киберсигурност **URL**: https://atlantsecurity.bg/services/cybersecurity-due-diligence **Описание**: Разкрийте скрити кибер рискове преди сключване на сделка. Оценки на сигурността за сливания, придобивания и инвестиции. **Области**: Оценка на сигурността на техническата инфраструктура, Преглед на защитата на данни и съответствие с поверителността, Анализ на пропуски в регулаторното и правно съответствие, Оценка на риска от трети страни и верига за доставки, Преглед на облачна инфраструктура и архитектура, Оценка на историята на инциденти и способността за реагиране, Оценка на зрелостта на програмата за сигурност, Резюме на риска за ръководството и анализ на въздействието върху сделката --- ### Оценка на сигурността на Active Directory **URL**: https://atlantsecurity.bg/services/active-directory-security-assessment **Описание**: Идентифицирайте и отстранете критични уязвимости във вашата Active Directory и Azure AD среда. **Области**: Преглед на AD конфигурация и групови политики, Анализ на привилегировани акаунти и административни нива, Оценка на повърхността за атака на Kerberos и NTLM, Преглед на сигурността на Azure AD (Entra ID), Оценка на политики за условен достъп, Анализ на доверителни връзки и сигурност на горите, Одит на сервизни акаунти и хигиена на идентификационните данни, Картографиране на пътища за атака и анализ на странично придвижване --- ### Съответствие с NIS 2 **URL**: https://atlantsecurity.bg/services/nis-2-compliance-help **Описание**: Подготовка за Директивата NIS 2 на ЕС с експертен анализ и подкрепа за внедряване. **Области**: Оценка на приложимост и обхват на NIS 2, Анализ на пропуски спрямо изискванията на NIS 2, Внедряване на рамка за управление на риска, Процедури за реакция при инциденти и докладване, Оценка на сигурността на веригата за доставки, Непрекъснатост на бизнеса и управление на кризи, Програми за осведоменост и обучение по сигурност, Настройка на управление и отчетност на ниво борд на директорите **Често задавани въпроси**: **В: Прилага ли се NIS 2 за моята организация?** О: NIS 2 се прилага за средни и големи субекти (50+ персонал или 10M+ EUR оборот) в 18 сектора. **В: Какви са санкциите за несъответствие?** О: Глоби до 10 милиона EUR или 2% от глобалния оборот за съществени субекти. Индивидуалните мениджъри могат да понесат лични глоби и временни забрани за заемане на управленски роли. --- ### Сигурност на дигитални портфейли **URL**: https://atlantsecurity.bg/services/digital-wallet-security **Описание**: Цялостна програма за сигурност на дигитални портфейли и финтех платформи. 80% от критичните уязвимости елиминирани в месец 1. **Области**: 14 категории контроли за сигурност, Укрепване на сигурността на API и бекенда, Сигурност на мобилни приложения (iOS и Android), Сигурност на плащанията и транзакциите, Преглед на сигурността на облачната инфраструктура, Автентикация и контрол на достъпа, Криптографски контроли и управление на ключовете, Мониторинг и реакция при инциденти, Съответствие с PCI DSS, PSD2, SOC 2, GDPR, ISO 27001 и DORA --- ### Лична киберсигурност **URL**: https://atlantsecurity.bg/services/personal-cyber-security-services **Описание**: Лична киберсигурност за ръководители, основатели, заможни лица и семейства. Укрепване на устройства, сигурност на акаунти, защита от SIM swap. **Области**: Сигурност на устройства (телефони, лаптопи, таблети), Сигурност на акаунти (имейл, банкиране, крипто, социални мрежи), Сигурност на домашна мрежа и одит на смарт устройства, Настройка на сигурни комуникации, Намаляване на цифровия отпечатък и поверителност, Планиране на реакция при инциденти, Семейна цифрова сигурност, Конфигуриране на хардуерен ключ за сигурност (YubiKey), Opt-out от брокери на данни и мониторинг на тъмната мрежа --- ## Публикации в блога - [Глоби по ЗКС и личната отговорност на управителния съвет: какво грози директорите и кои 5 решения ги защитават](https://atlantsecurity.bg/blog/globi-zks-otgovornost-rakovodstvo-2026) - Материал за управителни съвети и изпълнителни директори на компании в обхвата на новия Закон за киберсигурност. Фирмената глоба и личната отговорност на члена на УС са две различни неща. Имуществената санкция за компанията е до 19,56 млн лв (10 млн евро по фиксирания курс) или 2% от световния годишен оборот за съществените субекти и до 13,69 млн лв (7 млн евро) или 1,4% за важните - прилага се по-голямата от двете стойности, оборотът се изчислява на ниво група, а регулаторът може да налага и периодични имуществени санкции до отстраняване на нарушението. Личната отговорност на членовете на управителния орган е отделен слой: чл. 20 от рамката изисква управителният орган лично да одобри мерките за управление на риска, да следи изпълнението им и допуска той да носи отговорност при нарушения. Личната експозиция тече по три канала: регресен иск на дружеството или акционерите срещу небрежния директор по Търговския закон (грижа на добър търговец), временно отстраняване от управленски функции за лица на ниво изпълнителен директор или законен представител (само за съществените субекти, не за важните) и публично оповестяване на нарушението и нарушителя. Механизмът на ескалация има шест стъпки: инцидент или сигнал, проверка от регулатора, констатирано нарушение по чл. 21 и предписание със срок, неизпълнение и имуществена санкция, искане за временно отстраняване на директора, публично оповестяване и регресен иск - стъпки 1 до 4 са корпоративни и изпълненото предписание спира веригата, а личната зона започва едва на стъпка 5 при упорито неизпълнение. Разделът за прецеденти е честен: специфичната санкционна практика по NIS2 тепърва се натрупва, но има три източника на сигнали - държавите членки, транспонирали по-рано, дългата практика по GDPR (където липсата на управленски надзор е отегчаващо обстоятелство, а доказаната грижа смекчаващо) и секторните регулатори във финанси и енергетика - онагледени с четири представителни композитни случая (предупреждение, което не стига до УС; политика без протокол, дата и подпис; възлагане на доставчик без отчетност; и грижа, която проработва като смекчаващо обстоятелство). Петте решения на УС, които изграждат защитата разумна грижа: формално одобрение на мерките с протокол на УС, назначен собственик на функцията по сигурност с реален бюджет, документирано обучение на членовете на УС, киберсигурността като постоянна тримесечна точка от дневния ред, и одитна следа на решенията с независим външен годишен преглед - всяко с конкретен артефакт. Разделът за D&O застраховката пояснява, че самата административна глоба обикновено не е застраховаема (застраховането на санкции противоречи на обществения ред), временното отстраняване не е застраховаемо изобщо, D&O покрива основно разходите за правна защита и гражданските искове, и D&O не е cyber полица - двете покриват различни рискове. Шест FAQ за членове на управителни органи: отговорност на неизпълнителните членове, реалността на забраната за управление, защо фирмената глоба не затваря личния въпрос, защо отговорността не се прехвърля на ИТ доставчик, какво е разумна грижа и как се доказва, и дали D&O покрива глоба по ЗКС. CTA: услугата виртуален CISO с преглед на текущата лична експозиция на ръководството. Публикувано 2026-05-21. - [Виртуален CISO за общината през обществена поръчка: как да напишете спецификацията, която не се обжалва](https://atlantsecurity.bg/blog/virtualen-ciso-obshtina-zop-obshtestvena-poruchka) - Практически план за общинските секретари, юрисконсулти и експерти "Обществени поръчки". Новият Закон за киберсигурност определя всяка от 264-те български общини като съществен субект и изисква действаща функция по управление на сигурността с пълни санкции от 1 юни 2026 г. Назначаването на CISO на щат е практически невъзможно за повечето общини по три причини: липсва финансирана щатна бройка и заплатата по таблица не привлича експерт, квалифицираните специалисти са малко и концентрирани в София и едрите частни работодатели, а конкурсът по Закона за държавния служител отнема месеци. Има и четвърта причина: щатният служител е един човек с един профил, докато vCISO е старши специалист с екип и опит зад него. Легалното решение е виртуален CISO, възложен като услуга по реда на Закона за обществените поръчки. vCISO за община се разделя в два слоя: еднократно изграждане през първите 3-4 месеца (оценка на риска и регистър на активите, пакет политики и процедури, план за реакция при инцидент с протокол за 24 и 72 часа, преглед на техническите контроли и приоритизирана пътна карта, регистрация пред компетентния орган) и текуща функция целогодишно (месечен ангажимент на старши специалист, готовност за реакция при инцидент, обучение и симулиран фишинг, преглед на нови доставчици, представляване пред проверяващия орган). Правилната поръчка купува и двата слоя - изграждане плюс поне 12 месеца текуща роля. Изборът на процедура по ЗОП тръгва от прогнозната стойност за целия срок на договора без ДДС: под прага за услуги е директно възлагане (бързо, за малка община с ограничен обхват); в средния диапазон е събиране на оферти с обява в ЦАИС ЕОП (типичният случай за общински договор за vCISO); над националния праг е публично състезание или открита процедура. Изкуственото разделяне на поръчката на части под прага е нарушение на ЗОП и води до финансова корекция. Техническата спецификация трябва задължително да съдържа осем елемента: обхват на услугата (двата слоя), конкретни поименно изброени резултати, изисквания към персонала (старши специалист с измерим опит, не марка сертификат), срокове и график, гарантирана реакция при инцидент, клаузи за поверителност и достъп до данни, ред за приемане и отчитане, прехвърляне на знание. Принципът, който държи спецификацията законна: описвайте резултата, не доставчика, и опита чрез измерими неутрални характеристики. Критерият за оценка е решаващ - за експертна услуга като vCISO критерият най-ниска цена избира най-евтиния и най-младшия изпълнител и оставя функцията на хартия; правилният критерий е оптимално съотношение качество и цена с тежест на опита на конкретно предложения старши специалист, методологията и графика. Шест грешки в общинските поръчки за vCISO, които водят до обжалване пред Комисията за защита на конкуренцията: критерий най-ниска цена за експертна услуга, спецификация преписана от друга община без адаптация на обхвата, изисквания които ограничават конкуренцията незаконно (марка софтуер, рядък сертификат, несъразмерен оборот), липса на изисквания към конкретния специалист, занижена прогнозна стойност и изкуствено разделяне, липса на дефинирани резултати и ред за приемане. 60-дневен план от решение на ръководството до подписан договор при процедура събиране на оферти с обява: Дни 1-20 подготовка (решение, обхват, прогнозна стойност, избор на режим, чернова на спецификацията и критериите), Дни 21-45 процедура (преглед, публикуване в ЦАИС ЕОП, срок за оферти, отговори на въпроси), Дни 46-60 оценка и договор (оценка по критериите, класиране, уведомяване, сключване, старт на изграждането). Старт в началото на април прави готовността преди 1 юни 2026 г. постижима. Шест FAQ: дали може без обществена поръчка, кой критерий за оценка, колко дълъг да е договорът, как да опишем изискванията без да ограничим конкуренцията, има ли време преди 1 юни, дали ИТ служителят е достатъчен. CTA: виртуален CISO за общини с преглед или изготвяне на спецификацията. Публикувано 2026-05-20. - [13-те мерки по чл. 21 от ЗКС: технически разбор за ИТ ръководители](https://atlantsecurity.bg/blog/13-mark-kibersigurnost-chl-21-tehnicheski) - Технически разбор на 13-те мерки по чл. 21 от Закона за киберсигурност за ИТ ръководители, без юридически клишета. Четирите доказателства, които ОЕЦ изисква за всяка мярка: писмена политика одобрена от УС с дата на влизане и собственик, описание на процеса с отговорници и периодичност, техническо изпълнение (скриншот, конфиг файл или политика в инструмент), и история на работа поне 12 месеца назад. Един липсващ елемент превръща мярката в недоказуема. За всяка от 13-те мерки: какво точно изисква, артефакти които ОЕЦ ще иска, минимална имплементация (преминавате проверка) срещу одобрена практика (преминавате плюс получавате реална защита), индикативна годишна цена в лева. Мярка 1 риск: Excel + ISO 27005 (0-18 хил./г.) или Eramba/Hyperproof (6-24 хил./г.). Мярка 2 инциденти: Defender + Sentinel + Excel log минимум, MSSP 24/7 за одобрена практика, 4-36 хил./г. за SIEM или 36-96 хил./г. за MSSP. Мярка 3 бекъп/DR: Veeam + cloud blob минимум, immutable storage + DR site за одобрена, 6-24 хил./г. инструменти + 12-60 хил. за DR. Мярка 4 доставчици: Excel + 15-въпросен questionnaire минимум, OneTrust/Prevalent + SecurityScorecard за одобрена, 0-18 хил. или 18-60 хил./г. Мярка 5 SDLC: Semgrep + Nessus Pro минимум, Snyk + SonarQube + Intune/Ansible patch за одобрена, 4-12 хил. + 6-36 хил./г., пентест 8-30 хил. Мярка 6 оценка: външен консултант 1/г. минимум, ISO 27001 certified audit + GRC за одобрена, 3-12 хил./г. Мярка 7 крипто: BitLocker GPO + Let's Encrypt минимум, Intune + Azure Key Vault + HSM за одобрена, 0 лв. (M365 E3+) + 0.6-6 хил./г. Мярка 8 HR: ръчен offboarding checklist минимум, Okta/JumpCloud + HR SCIM за одобрена, 0 или 12-36 хил./г. Мярка 9 достъп: RBAC матрица + manual review минимум, Entra PIM + IGA tool за одобрена, 0 или 12-24 хил./г. Мярка 10 активи: Excel CMDB + Intune list минимум, Lansweeper + Purview + ServiceNow за одобрена, 3-12 хил./г. Мярка 11 MFA: Authenticator + Conditional Access минимум, FIDO2 + Number Matching + risk-based CA за одобрена, 0 + 2 хил. еднократно за YubiKey. Мярка 12 комуникации: Teams + Signal Group минимум, Teams Premium E2EE + out-of-band ledger за одобрена, 0 лв. Мярка 13 обучение: видео + Forms + GoPhish минимум, KnowBe4/Hoxhunt за одобрена, 0-12 хил. или 18-36 хил./г. Стълбова графика показваща годишен бюджет per мярка - сумарно 45-85 хил. лв./г. минимум за компания 80-150 души. Артефактна папка SharePoint /NIS2-Compliance/ с препоръчителна структура (13 подпапки: Policies, Risk-Register, Incidents, Asset-Inventory, Access-Reviews, Training, Suppliers, Backups-DR, Vulnerability-Mgmt, Internal-Audit, Management-Review, Crypto-Cert-Mgmt, Comms-Policy). Червен флаг: всички файлове с дата на промяна в последните 7 дни преди проверката. Сравнителна таблица минимум vs одобрена практика. 90-дневна пътна карта в три фази: Дни 1-30 ИНВЕНТАР И ПОЛИТИКИ (регистър на активите, регистър на доставчиците, главна политика, crypto/MFA/access политики, регистър на риска 30+, BCP/DRP, SDLC/HR security, IR plan + класификация - покрива М1, М4, М8, М10), Дни 31-60 ТЕХНИЧЕСКИ КОНТРОЛИ (MFA enforce + Conditional Access, BitLocker + TLS audit, immutable backup, Sentinel + Defender baseline, vuln scanner + първи скан, PIM/RBAC review, SAST в CI/CD, tabletop exercise - покрива М3, М5, М7, М9, М11), Дни 61-90 ОЦЕНКА И ОБУЧЕНИЯ (първи симулиран фишинг, обучение за всички, специализирано за ИТ, тест на бекъп restore, vendor questionnaires, вътрешен одит на 13-те, management review, корективни действия - покрива М2, М6, М12, М13). Шест FAQ: ISO 27001 от 2024 г. покрива над 85% но има 4 области с пропуски (24/72ч докладване, 12-месечни логове, лична отговорност на УС, интеграция с регулатори), могат да поискат branch protection и CI/CD конфиг по М5 и TLS/BitLocker GPO по М7 но не source code, supply chain дълбочина е критични доставчици с production data достъп, пропорционалност за 40-човешки важен субект 18-32 хил./г. + 25% от един ИТ човек, трите мерки на които всички пропадат са М4 М6 М10, ОЕЦ проверява на 1-2 години съществени и 2-3 години важни плюс при сигнал. Препоръка: вътрешна симулация на проверка веднъж годишно за 8-18 хил. CTA: ИТ одит за съответствие 10-15 работни дни. Публикувано 2026-05-19. - [Gmail и ABV за служебна поща: защо вече е незаконно за общините и какво да направим до 1 юни 2026 г.](https://atlantsecurity.bg/blog/gmail-abv-nezakonni-sluzhebna-poshta-obshtini) - Над 60 на сто от служителите в малките и средните български общини още използват gmail.com, abv.bg и mail.bg за служебна работа. Тази практика е незаконна на четири едновременни основания: ЗЕУ чл. 16 (служебна кореспонденция изисква регистриран служебен адрес на органа, не публична облачна поща; ДАЕУ изрично включи Gmail и abv.bg в списъка на „недопустими адреси" в указания от 2023 г.); GDPR чл. 32 и чл. 28 (липсва договор с обработващ и подходящи технически мерки - КЗЛД систематично налага глоби в общини без значителен инцидент, само заради практиката); ЗЕДЕУУ чл. 13-14 (gmail.com не е „регистриран служебен адрес на органа", което прави електронния документ невалиден по закон); и новият ЗКС чл. 21 ал. 1 т. 4, 8, 12 (нарушава контрол върху веригата за доставки, криптография по подходящ начин, и многофакторно удостоверяване едновременно). Санкционната скала се натрупва: КЗЛД до 240 хил. лв. + ЗКС до 10 млн. лв. за общината + лична отговорност на кмета до 100 хил. лв. + временна забрана за управление. КЗЛД вече е наложила над 30 ефективни глоби на български общини за тази практика през последните 18 месеца. Петте конкретни риска за общината: (1) изтичане на лични данни на граждани (риск №1 по честота - произволно прикачен файл с ЕГН), (2) загуба на достъп при напускане на служителя (наследствени дела на 47 граждани в gmail-кутия, до която общината няма достъп; 14 000 лв. адвокатско възстановяване), (3) компрометиране на акаунта с фишинг (община в Северозапад: 312 имейла с лични данни, глоба 165 000 лв.), (4) невъзможност за документиране на електронната кореспонденция за съд или одит, (5) невъзможност за подаване на ранен 24-часов доклад по ЗКС чл. 19 заради липса на достъп до журнали в чужд облак. Четирите легални алтернативи с реална цена в лева през 2025-2026 г.: (1) Microsoft 365 в EU Data Boundary 12 000-58 000 лв./г. за община 30-200 души с DPA по чл. 28 GDPR, MFA и Conditional Access по подразбиране, образцов договор от ДАЕУ; (2) Google Workspace с EU Sovereign Controls 9 000-44 000 лв./г., по-евтин и удобен, по-малък пазарен дял в БГ публичен сектор; (3) Zimbra Network Edition on-premise 28 000-92 000 лв. еднократно + 6 000-18 000 лв./г. поддръжка, всички данни в общинската зала под физически контрол, нужен квалифициран ИТ персонал; (4) ДАЕУ споделена услуга poshta.government.bg БЕЗПЛАТНА, домейн @obshtina.government.bg, антиспам, антивирусна, базова архивираемост, интеграция с ЕСОД, идеалния избор за малки общини. Сравнителна таблица за 100-душна община: M365 ~28 хил. лв., Workspace ~21 хил. лв., Zimbra ~62 хил. лв., ДАЕУ 0 лв. 60-дневен план за миграция (стартиране след 15 април прави срок 1 юни нереалистичен): Д1-20 регистър на пощите + избор на алтернатива + ЗОП документация + договор + конфигурация на домейна; Д21-40 създаване на акаунти + SPF/DKIM/DMARC + MFA на всички + архивиране на стара поща + пилотна група 10 души; Д41-60 пълен преход за всички + изключване на старите адреси + политика за служебно ползване + обучение + доклад до кмета и ОбС. Шест критични грешки в общинските миграции: липса на регистър на пощенските кутии преди стартиране (секретарят обикновено знае 60% от истинския брой), прехвърляне без предварително архивиране (изтриване на лична поща нарушава ЗНАФ за съхранение 5-50 г.), поетапно изключване на старите адреси вместо едновременно, липса на политика за служебно ползване, неактивиран MFA от първия ден, и липса на SPF/DKIM/DMARC на общинския домейн (DMARC p=reject от 60-ия ден). Пет реални сценария: малка община 38 души (ДАЕУ безплатна + 6-9 хил. лв. консултант), средна 112 души с европейски проекти (M365 28-32 хил. + 14-22 хил. консултант, най-често срещаният сценарий), областен център 280 души (смесена - M365 + Zimbra за чувствителни данни, 75-115 хил. + 32-58 хил. еднократно), кметство в съставна община 12 души (разширяване на основния акаунт, 0-3.8 хил. лв./г.), и реален случай на община вече глобена от КЗЛД (миграция в 30 дни 18-32 хил. + 8-14 хил. за DPO и правен ангажимент по преписката). Шест FAQ: личен gmail на кмета за лични контакти НЕ е проблем, разграничението е по съдържанието не по технологията; общински adres@abv.bg от 2015 г. НЕ е легален, доставчикът не е сключил договор по чл. 28 GDPR; за малки общини с под 50 потребители миграцията попада под прага по чл. 20 ал. 4 ЗОП и се сключва с пряко договаряне; стратегия при просрочване на 1 юни е документиран план до 1 септември 2026 г. + пилотен преход на 20-30% като смекчаващи фактори; за малка община M365 Business Premium (22-24 EUR/потр./мес.) е по-подходящ от G3 (25-28 EUR); доказателства пред КЗЛД/ДАЕУ са заповед на кмета + регистър на служебните кутии + MFA активиране + политика за служебно ползване + DPA + общински архив на старата кореспонденция. Публикувано 2026-05-18. - [NIS2 за малки и средни компании: кога ви засяга и кога не. Практически тест за 3 минути](https://atlantsecurity.bg/blog/nis2-malki-sredni-kompanii-kriterii-2026) - Седем от десет малки и средни български компании, които ни питат, не са в обхвата на новия Закон за киберсигурност (транспониращ NIS2). Останалите три са, но често по причини, които не подозират. Обхватът се определя едновременно по три оси: сектор по Анекс 1 (11 сектора, водят до съществен субект при достатъчен размер - енергетика, транспорт, банки, здраве, питейна вода, цифрова инфраструктура, MSP/MSSP, публична администрация, космос) или Анекс 2 (7 сектора, водят до важен субект - пощи, отпадъци, химическа, храни, производство на медицински изделия/електроника/превозни средства, цифрови услуги, научни институти), размер на компанията по ЕС определение за МСП (микро под 10 души и под 2 млн. EUR извън обхвата; малка 10-49 души и до 10 млн. EUR извън размерния критерий; средна 50-249 души и до 50 млн. EUR оборот - важен субект ако в Анекс 1 или 2; голяма 250+ души или над 50 млн. EUR - съществен в Анекс 1, важен в Анекс 2), и 8-те специални обстоятелства (единствен доставчик на услуга, потенциал за значителни смущения, доставчик на доверителни услуги по eIDAS, регистратор на TLD, доставчик на DNS resolvers, публична администрация, доставчик на електронни съобщителни услуги). Тристъпков 3-минутен самотест с 5 въпроса: Q1 сектор, Q2 специално обстоятелство, Q3 размер, Q4 двойно покритие (DORA, БНБ, КФН, eIDAS, CER), Q5 краен изход - извън обхвата без верижно задължение, извън с верижно, важен субект, съществен субект. Разпределение в България: около 425 000 компании извън обхват без верижно задължение (92.4%), 30 800 с верижно задължение (6.7%), 3 100 важни субекти (0.7%), 1 100 съществени субекти (0.24%). Петте чести грешки в самокласификацията с реални примери от април-май 2026 г.: „малки сме - не ни касае" (32-човешка фирма за поддръжка на пациентски системи се оказва важен субект по специално обстоятелство), „SaaS = цифрова инфраструктура" (38-човешка пловдивска SaaS логистика НЕ попада в Анекс 1, но получи 14-страничен немски въпросник), „имаме оборот над прага - сме съществени" (строителна компания с 60 млн. EUR извън обхвата защото не е в Анекс 1 или 2), „аутсорсваме всичко - не носим отговорност" (Azure/AWS аутсорсването премахва оперативна работа, не отговорност), „извън обхвата - не правим нищо" (минимална подготовка 22-48 хил. лв. се изплаща с първия запазен клиент). Верижното задължение по чл. 21 ал. 1 т. 4 в три форми - сигурностен въпросник 30-200 въпроса (SIG, CAIQ, TISAX за немски/австрийски клиенти, 4-12 часа работа), договорни клаузи за сигурност (24-72 часа уведомление при инцидент, право на одит, ISO 27001 или SOC 2 Type II, конкретни мерки), очакване за сертификация (ISO 27001 международен, CSA Level 2 български, SOC 2 Type II за US). 90-дневна пътна карта за компания от 50 души като важен субект със стартова позиция основна ИТ хигиена налична: Дни 1-30 ОЦЕНКА (класификация и регистрация в МЕУ, длъжностно лице, gap анализ срещу 13-те мерки, инвентар, регистър на доставчиците), Дни 31-60 ИЗГРАЖДАНЕ (8 базови политики, MFA до всеки служител, EDR, имутабилен бекъп, договорни клаузи), Дни 61-90 ПРОВЕРКА (тест на възстановяване, table-top упражнение, обучение на ръководство, самооценка, готов отговор на въпросник). Четири контролни точки на УС (Дни 7, 30, 60, 90). За компания от нулата реалният срок е 5-7 месеца. Принципи: политики преди инструменти, регистрацията е първа, MFA до всеки служител, тест с реално възстановяване, table-top упражнение за инцидент. Реална цена за компания от 50 души в лева без ДДС: важен субект първа година 77 800 - 154 000 лв., оперативна втора+ 55 600 - 108 800 лв./г. Разпределение по 9 категории: външен консултант 24-48 хил. първа година, vCISO 4 часа седмично 14.4-24 хил./г., MFA Microsoft Entra P1 или Google 3.6-6 хил./г., EDR 50 лиценза 6-12 хил./г., SIEM 4.8-12 хил./г., имутабилен бекъп 6-14 хил. първа година, обучения на 50 души 3-6 хил., пентест web + external 12-24 хил./г., вътрешно работно време 4-8 хил. Минимална за верижно задължение 22-48 хил. първа година. vCISO + външен консултант е по-евтино от вътрешен CISO (60-96 хил. бруто). Пет реални сценария за български МСП: SaaS 38 души с верижно задължение (минимална позиция за 70 дни, 34 000 лв., премина 3 въпросника и спечели нов клиент от Австрия), производствена фирма 90 души медицински изделия (важен субект Анекс 2, 142 000 лв. първа година, готова за инспекция към 1 юни), MSP компания 28 души с 14 клиенти (важен субект по специално обстоятелство, 88 000 лв., 4 нови клиента), логистична фирма 120 души (важен субект Анекс 1, 165 000 лв., 28% намаление на cyber insurance), юридическа кантора 22 души (извън обхвата, минимална 28 000 лв., спечели банков клиент). Шест FAQ: 45 души извън обхвата без значение от сектора (не автоматично, специални обстоятелства могат да въвлекат), кой решава дали сме в обхвата (самокласификация + МЕУ преразглеждане + АПК), какво се случва при пропусната регистрация (глоба 5-200 хил. лв. по чл. 56 ал. 1 т. 1), смисъл от доброволна регистрация (не, по-добре външна атестация или trust portal), аутсорсване на съответствието изцяло (изпълнение да, отговорност не), какво при просрочване на 1 юни (риск-базиран подход, минимално жизнеспособно + 12-месечен план работи в практиката). Публикувано 2026-05-17. - [NIS2 за общините до 1 юни 2026 г.: какво трябва да направи всеки кмет до края на преходния период](https://atlantsecurity.bg/blog/nis2-obshtini-do-1-yuni-2026) - Всичките 264 общини в България попадат в обхвата на новия Закон за киберсигурност (ДВ бр. 17/13.02.2026 г.) като съществени субекти от сектор „Публична администрация" по Анекс 1, т. 1, „органи на местното самоуправление". Това е праг-независима категория - нито населението, нито бюджетът, нито броят на администрацията променят обхвата. Срокът за пълно съответствие е 1 юни 2026 г., с глоби до 10 000 000 лв. за общината и до 100 000 лв. лично за кмета по чл. 56 ал. 2 като представляващ субекта. Защо законодателят съзнателно затвори вратичката на старата NIS от 2016 г. (общините управляват критични регистри за гражданите и са доказано уязвими след атаките срещу Стара Загора 2022, Свищов 2023, Айтос 2024). Шест семейства задължения: регистрация в МЕУ в 30 дни от установяване, длъжностно лице за киберсигурност, 13-те технически и организационни мерки по чл. 21, 24/72/30-дневен протокол за докладване, оценка и наблюдение на доставчици, готовност за инспекция от МЕУ и ДА „Електронно управление". Шестте най-често пропуснати мерки в общинската администрация след анализ на 8 текущи изпълнения: оценка на риска с регистър от 40-80 записа (вместо обща политика без приложение), документирана и тествана политика за реакция при инциденти (вместо нетестван шаблон), сигурност на веригата за доставки с клаузи в договорите по ЗОП за десетките общински доставчици, документирано обучение на кмета/заместниците/секретаря (не общо обучение по противопожарна и киберсигурност), тестване на ефективността (тест на бекъп, тестово възпроизвеждане на инцидент, симулиран фишинг), и пълно разпространение на криптография и MFA до всеки служител с достъп до МДТ/ЕСГРАОН-копие/бюджетни модули (типично 8-12 седмици работа). Реална цена в лева за първа година: малка община 30-80 души администрация 90 800 - 219 400 лв., средна 100-300 души 220 000 - 510 000 лв., областен/столично-областен център 540 000 - 1 277 000 лв. Втора година оперативна издръжка 45-720 хил. лв. в зависимост от размера. Източници за покриване: МЕУ съфинансиращи кампании, програма „Цифрова трансформация" по НПВУ, целеви трансфер от държавния бюджет, преразпределение от ИТ позиции, решение на ОбС за допълнителен бюджет. Застраховка „Киберотговорност" е надстройка, не алтернатива - застрахователите изискват наличие на 13-те мерки. Шестмесечна пътна карта от М1 (регистрация в МЕУ, заповед за длъжностно лице, инвентар на активите) до М6 (готовност за проверка, самооценка, атестация). Шест критични ангажимента за кмета: заповед за длъжностно лице втора седмица, бюджетен ангажимент с решение на ОбС втори месец, лично преминато обучение трети месец, участие в учение за инцидент пети месец, подпис на годишен доклад пред ОбС. Шест грешки в ЗОП спецификациите за обществени поръчки по киберсигурност (72% обжалваемост в последните 24 месеца): „консултантски услуги по NIS2" без конкретен обхват, изискване на „опит с общинска администрация" без обективно дефиниране, сертификати на фирмата вместо квалификации на хората, „доставка и въвеждане" без документиране, изпълнителят на системата прави и одита (конфликт на интереси), нереалистичен срок 90 дни вместо декомпозиране на 240 дни в четири етапа. Пет реални сценария: малка община 8 200 жители с нулева отправна точка (бюджет 96 000 лв., минимално жизнеспособно съответствие), средна община 38 000 жители (348 000 лв., попълване на пропуските), областен град 110 000 жители (720 000 лв., институционализиране на ИБ функция и вътрешен CISO), столично-областна община над 300 000 жители (над 1.2 млн. лв., координация с общинските дружества в обхвата), и реален ransomware случай от януари 2026 г. (78 000 лв. реакция плюс 145 000 лв. изграждане, функционални за 7 дни, в съответствие за 6 месеца). Шест FAQ за наистина-ли-сме-съществен-субект (да, без праг), кой ще проверява първи (риск-базирани инспекции), европейски проекти не покриват пълния обхват, личната отговорност на кмета по чл. 56 ал. 2 е паралелна с тази на длъжностното лице, vCISO аутсорсване изисква конкретен човек с независимост от ИТ доставчика, и стратегия при просрочване на 1 юни (изградете 5-те най-важни мерки, напишете 12-месечен план, представете пред ОбС - „в процес на изпълнение" е по-добра позиция от „нарушение"). Публикувано 2026-05-16. - [13 минимални мерки за киберсигурност: какво точно изисква новият Закон от съществените и важните субекти](https://atlantsecurity.bg/blog/minimalni-merki-kibersigurnost-13-zadalzhenia) - Член 21 от Закона за киберсигурност изброява 13 категории задължителни технически и организационни мерки. Това не са препоръки или насоки - изпълняеми норми с глоба до 10 000 000 лв. за съществените и до 7 000 000 лв. за важните субекти. Подробен разбор на всяка мярка: какво точно изисква текста, как изглежда доказателство пред проверяващ (четири елемента - политика, процес, техническо изпълнение, история над 12 месеца), и кои са най-често пропадащите на проверка. Шестте най-критични пропуски: оценка на ефективността (мярка 6, рядко съществува формално), управление на веригата за доставки (мярка 4, регистър на 30-80 ИКТ доставчика с оценка на риска), сигурност при разработка и поддръжка (мярка 5, SDLC + статичен анализ + годишен пентест), криптография в покой (мярка 7), управление на активите (мярка 10, автоматизиран регистър), и непрекъснато обучение по кибер-хигиена (мярка 13). Реални числа за изпълнение на 13-те мерки за компания от 100 до 500 служители: 208 000 до 530 000 лв. първа година, 152 000 до 362 000 лв. годишна оперативна цена (консултантски разходи, виртуален CISO, MFA/EDR/SIEM/vuln scanner, SOC/MDR, имутабилен бекъп, обучения, пентест, вътрешно работно време). Делта за компании с базова ИТ хигиена около 40-60% от пълната цена. Приоритизирана 12-месечна пътна карта (М1-2 оценка, М3 политики, М4 бързи победи, М5-6 технология, М7-8 хора, М9-10 тестове, М11-12 одит). Принципи: политиките преди инструментите, бързите победи (MFA, EDR, имутабилен бекъп) идват в М4, SOC/MDR започва най-късно М5 за да има 6 месеца лог-история за М11 одит. От 8 текущи изпълнения с български компании. Публикувано 2026-05-14. - [Докладване на инцидент за 24 и 72 часа: практически протокол по новия Закон за киберсигурност](https://atlantsecurity.bg/blog/dokladvane-incident-24-72-chasa-protokol) - Тристъпков задължителен срок на докладване на значителен киберинцидент по новия Закон за киберсигурност: 24-часово ранно предупреждение, 72-часово подробно уведомление с оценка на въздействието, едномесечен финален доклад с първопричина и предприети мерки. Часовникът тръгва от момента на обоснованата човешка преценка за узнаване, не от часа на първия системен алерт. Покрива практическите прагове за „значителен инцидент" с 10 категории събития (ransomware, неоторизиран достъп с над 100 субекта, прекъсване над 4 часа или 25% потребители, BEC над 50 000 лв.), разпределението на компетентните органи по сектор (Национален CSIRT при МЕУ за повечето сектори, БНБ за финансовите институции, КРС за телекомите, паралелно КЗЛД по чл. 33 от GDPR при пробив на лични данни), минималното съдържание на 24-часовото уведомление в седем точки и какво НЕ е необходимо в този ранен документ, четирите паралелни роли в първите 24 часа (SOC/дежурен IT за изолация, CISO/DPO координатор за документация, CEO/юрист за одобрение, комуникации за клиентски съобщения), и пет реални сценария за български компании от различни сектори. Включва капана на изчакването „за пълна картина" и защо подаване на непълно уведомление в срок винаги печели срещу пълно след срока. Публикувано 2026-05-12. - [Глоби по новия Закон за киберсигурност и личната отговорност на ръководството: 20 млн. лв., 2% от оборота и забрана за управление](https://atlantsecurity.bg/blog/globi-zakon-kibersigurnost-lichna-otgovornost) - Българското транспониране на NIS2 въвежда най-високите административни глоби в българското право извън конкуренцията: до 20 млн. лв. или 2% от световния годишен оборот за съществените субекти, до 14 млн. лв. или 1.4% за важните. Подробен анализ на двустепенната скала, осемте най-чести нарушения с очаквани размери (от формалното неоформяне на регистрация до системно неизпълнение след предписание), личната отговорност на ръководството по чл. 20 от Директивата (лична глоба до 100 000 лв., временна забрана за заемане на ръководни длъжности от 6 месеца до 5 години, четирите кумулативни условия за нейното налагане). Шест-стъпкова процедура от сигнал до влязла в сила санкция с критичните защитни моменти (възражение, писмени обяснения, обжалване пред районен съд и касация). Седем документа, които защитават ръководството от лична отговорност: решение на управителния орган за политика, документиран бюджет, назначен CISO или вCISO, тримесечни отчети, обучение по чл. 20, план за реакция при инциденти, регистър на доставчиците. Три реални сценария за български компании - регионална болница, софтуерна компания и малка община - с очаквани размери на глобите. Публикувано 2026-05-10. - [Тест за обхват по NIS2: съществен субект, важен субект или извън обхвата? Практическо ръководство за български компании](https://atlantsecurity.bg/blog/nis2-obhvat-test-syshtestven-vazhen-subekt) - Практически тест за определяне на обхвата по новия Закон за киберсигурност (ДВ бр. 17/13.02.2026 г.). Покрива двете оси на класификация (сектор × размер), Анекс 1 срещу Анекс 2 от Директива (ЕС) 2022/2555, праговете за среден (50-249 служители или 10-50 млн. EUR) и голям субект (250+ служители или над 50 млн. EUR), винаги-в-обхвата категориите (DNS, TLD регистратори, телекоми, държавна и общинска администрация), седем-стъпковия тест за решение, регистрацията при МЕУ, и пет реални сценария за български компании от държавна болница до семейна пекарна. Допълнителен раздел за индиректен обхват през веригата на доставка - трите типови договорни клаузи, които клиентите-задължени субекти ще започнат да изискват. Публикувано 2026-05-08. - [Готови ли сте за 1 юни 2026 г.? Контролен лист за съответствие с NIS2 за български компании](https://atlantsecurity.bg/blog/zakon-za-kibersigurnost-nis2-kontrolen-list-1-yuni-2026) - Новият Закон за киберсигурност (ДВ бр. 17/13.02.2026 г.) транспонира NIS2 в българското право. Преходният период приключва на 1 юни 2026 г. Глоби до 20 млн. лв. за компанията и 100 хил. лв. лично за управителя. Покрива 18-те сектора в обхвата (включително всички български общини), класификация на „съществен" срещу „важен" субект, 13-те минимални мерки за киберсигурност, 24/72-часов протокол за докладване на инциденти и 26-дневен план за минимална готовност. Публикувано 2026-05-06. - [Консултантски услуги по киберсигурност - Пълното ръководство за 2026 г. за ИТ директори и CEO](https://atlantsecurity.bg/learn/cybersecurity-consulting-services-the-complete-2026-guide) - [Топ 15 компании за виртуален CISO за 2026 г. (сравнение и рецензии)](https://atlantsecurity.bg/learn/vciso-companies) - [Най-добри практики за сигурност на SaaS: Пълното техническо ръководство за 2026 г.](https://atlantsecurity.bg/learn/saas-security-best-practices-the-complete-technical-guide-for-2026) - [Топ 15 компании за одит на ИТ сигурността за 2026 г. (сравнение и рецензии)](https://atlantsecurity.bg/learn/top-it-security-audit-companies) - [Топ 15 фирми за киберсигурност - класация](https://atlantsecurity.bg/learn/top-cybersecurity-firms) - [vCISO за малки организации: Ръководство по сигурността без цената на щатен директор](https://atlantsecurity.bg/learn/vciso-for-small-organizations) - [Решения за vCISO: Какво включват, колко струват и как да изберете](https://atlantsecurity.bg/learn/vciso-solutions) - [CISO като услуга: Всичко, което трябва да знаете](https://atlantsecurity.bg/learn/ciso-as-a-service-everything-you-need-to-know-before-hiring-outsourced-security-leadership) - [ISAE 3402 Тип 1 срещу Тип 2: Пълно ръководство [2026]](https://atlantsecurity.bg/blog/demystifying-isae-3402-type-1-and-type-2-reports-and-audits) - [Кибер защита за заможни лица: Мисията е възможна, ако...](https://atlantsecurity.bg/blog/wealthy-individual-cyber-protection) - [Пускаме най-добрата приставка за сигурност за WordPress в света](https://atlantsecurity.bg/learn/we-are-releasing-the-best-security-plugin-for-wordpress-in-existence) - [Кои компании трябва да спазват SOC2?](https://atlantsecurity.bg/blog/which-companies-should-comply-with-soc2) - [Услуги за одит на киберсигурността, от които всеки бизнес се нуждае](https://atlantsecurity.bg/blog/cybersecurity-audit-services-every-business-needs) - [Услуги за виртуален CISO за по-силна сигурност](https://atlantsecurity.bg/blog/virtual-ciso-services-for-stronger-security) - [Компании за съответствие със SOC 2: Как да изберете правилния партньор](https://atlantsecurity.bg/learn/soc-2-compliance-companies-how-to-choose) - [Скрипт за одит на Microsoft 365 и Entra ID чрез PowerShell](https://atlantsecurity.bg/learn/microsoft-365-and-entra-id-powershell-auditing-script) - [Превенция на рансъмуер за VMWare среди](https://atlantsecurity.bg/learn/ransomware-prevention-for-vmware-environments) - [Представяме Atlant Security Hardening: Корпоративна сигурност за Windows 11](https://atlantsecurity.bg/learn/introducing-atlant-security-hardening-enterprise-grade-windows-11-security-made-simple) - [Чеклист за киберсигурност на електронната търговия](https://atlantsecurity.bg/learn/e-commerce-security-checklist) - [Компании за виртуален CISO](https://atlantsecurity.bg/learn/virtual-ciso-companies) - [Мерки за цифрова сигурност за заможни семейства: ръководство стъпка по стъпка](https://atlantsecurity.bg/learn/digital-security-measures-for-wealthy-families-step-by-step-guide) --- ## Контакт - Уебсайт: https://atlantsecurity.bg - Имейл: alexander@atlantsecurity.com - Телефон: +1-650-457-0551 - Адрес: 1311 Park St, Alameda, CA 94501 - LinkedIn: https://www.linkedin.com/company/atlant-security/