Кибер застраховка и GDPR — какво покрива и кога ви трябва
Кратък отговор: Кибер застраховката покрива разходите за реакция при теч на данни — уведомяване на субектите, дигитална експертиза, правна защита, бизнес прекъсване и граждански искове. Обаче GDPR глобите от КЗЛД са принципно незастраховаеми в повечето юрисдикции на ЕС. С влизането в сила на NIS2 в България (февруари 2026 г.) кибер застраховката става все по-важна, а NIS2 съответствието намалява премиите с 25-40%.
Съдържание
- Какво покрива кибер застраховката
- Какво НЕ покрива — GDPR глоби и изключения
- NIS2 и Законът за киберсигурността (2026)
- Кога Ви е нужна кибер застраховка
- Типични премии и покрития в България
- Как да изберете кибер полица — checklist
- D&O застраховка и кибер рискове
- Практически случаи от България
- Често задавани въпроси
Кибер инцидентите вече не са въпрос на „ако", а на „кога". Ransomware атаките се увеличават, регулаторните глоби растат, а разходите за реакция при теч на лични данни могат да парализират дори средно голяма компания. Кибер застраховката е инструмент за управление на финансовия риск, но не е панацея — особено когато става дума за GDPR глоби. В тази статия разглеждаме какво покрива и какво не покрива кибер полицата, как NIS2 променя пейзажа и кога Ви трябва такава застраховка.
Какво покрива кибер застраховката
Стандартната кибер застрахователна полица покрива два основни типа разходи: собствени разходи на застрахования (first-party) и отговорност към трети лица (third-party).
Собствени разходи (First-party)
| Покритие | Какво включва | Примерен разход |
|---|---|---|
| Разходи за уведомяване | Информиране на субектите по чл. 34 GDPR; уведомяване на КЗЛД по чл. 33 | 5 000 - 50 000 лв. (зависи от броя субекти) |
| Forensic investigation | Дигитална експертиза за установяване на причината, обхвата и източника на пробива | 10 000 - 100 000 лв. |
| Кризисен PR | Управление на комуникациите с медиите и обществеността | 5 000 - 30 000 лв. |
| Възстановяване на данни | Техническо възстановяване на системи и бази данни | 10 000 - 200 000 лв. |
| Business interruption | Загуби от прекъсване на дейността (пропуснати приходи) | Варира значително |
| Кибер изнудване (ransomware) | Разходи за преговори; в някои полици — и откупът (спорно) | 50 000 - 1 000 000+ лв. |
Отговорност към трети лица (Third-party)
| Покритие | Какво включва |
|---|---|
| Правни разходи | Адвокатски хонорари за защита пред КЗЛД, съд или арбитраж |
| Граждански искове (чл. 82 GDPR) | Обезщетения за материални и нематериални вреди, присъдени от съд |
| Regulatory defence | Разходи за правна защита в производство пред регулатор (КЗЛД) |
| Media liability | Претенции, свързани с публично разкриване на информация |
Какво НЕ покрива — GDPR глоби и изключения
Тук е ключовата информация, която много организации не знаят: кибер застраховката не покрива всичко.
GDPR глоби — незастраховаеми в повечето юрисдикции
Критично: Административните глоби по чл. 83 GDPR (до 20 млн. евро или 4% от оборота) са принципно незастраховаеми в повечето държави от ЕС. Причината: застраховането на глоби би подкопало техния възпиращ (deterrent) ефект — целта на глобата е да накаже, а не да бъде прехвърлена на застраховател.
| Юрисдикция | Застраховаемост на GDPR глоби | Бележка |
|---|---|---|
| България | НЕУРЕДЕНО | Няма съдебна практика или ясна позиция |
| Германия | Принципно незастраховаеми | Deterrent effect doctrine |
| Италия | Незастраховаеми | Публичноправни санкции не подлежат на застраховане |
| Франция | Незастраховаеми | Потвърдено от ACPR (застрахователен надзор) |
| Финландия | Застраховаеми | Едно от малкото изключения в ЕС |
| Норвегия | Застраховаеми | Друго изключение (K&L Gates study, Feb 2026) |
| Великобритания | Неясно, но вероятно незастраховаеми | Зависи от конкретната полица |
Какво означава „most favorable venue" клауза? Някои полици съдържат клауза, според която застрахователят ще оцени глобата по правото на най-благоприятната юрисдикция (напр. Финландия). На практика обаче, ако глобата е наложена от КЗЛД в България, тя се плаща по българското право. Тази клауза е по-скоро маркетингов ход.
Други стандартни изключения
- ✗ Умишлени нарушения — ако тече е причинен умишлено от служител или ръководство
- ✗ Предварително известни уязвимости — ако сте знаели за пробива преди сключване на полицата
- ✗ Чисти репутационни загуби — загуба на клиенти заради негативен имидж (обикновено не се покрива)
- ✗ Нарушения преди началото на полицата — ретроактивно покритие е рядко
- ✗ Война и тероризъм — стандартно изключение (вкл. държавно спонсорирани кибер атаки)
- ✗ Липса на минимални мерки за сигурност — ако не сте прилагали базови контроли (MFA, patches)
NIS2 и Законът за киберсигурността (2026)
С измененията на Закона за киберсигурността от февруари 2026 г. (транспониращи Директива (ЕС) 2022/2555 — NIS2) кибер застраховането придобива ново значение:
Какво променя NIS2 за кибер застраховането
| NIS2 аспект | Влияние върху застраховането |
|---|---|
| Разширен обхват: от 8 на 18 сектора | Повече организации се нуждаят от кибер застраховка |
| Санкции: до 10 млн. евро / 2% от оборота | Финансовият риск се увеличава значително |
| Задължително уведомяване за инциденти (24 + 72 ч.) | Покрива се от first-party разходите на полицата |
| Лична отговорност на ръководството | Необходима D&O застраховка (вж. по-долу) |
| Задължителни мерки за сигурност | Спазването намалява премиите с 25-40% |
NIS2 сектори в България (от февруари 2026 г.)
Новите сектори, добавени с NIS2 (освен традиционните енергетика, транспорт, здравеопазване, финанси, ВиК, цифрова инфраструктура):
- Производство (вкл. храни, химия, фармацевтика, машини)
- Пощенски и куриерски услуги
- Управление на отпадъци
- Научни изследвания
- Хранителна промишленост
- Космическа дейност
- Публична администрация
Практически ефект: Ако Вашата организация попада в NIS2 обхват, застрахователите ще изискват доказателство за NIS2 съответствие преди издаване на полица. Организации без NIS2 контроли могат да бъдат отказани или да получат значително по-високи премии.
Кога Ви е нужна кибер застраховка
Кибер застраховката не е задължителна по закон в България (за разлика от гражданската отговорност на МПС). Тя обаче е силно препоръчителна в следните случаи:
- ✓ Обработвате лични данни на голям брой субекти (10 000+)
- ✓ Обработвате чувствителни данни (здравни, финансови, деца)
- ✓ Попадате в обхвата на NIS2 / Закона за киберсигурността
- ✓ Приходите Ви зависят от ИТ системи (е-търговия, SaaS, финтех)
- ✓ Партньори или клиенти го изискват договорно
- ✓ Имате международна дейност (експозиция към различни юрисдикции)
- ✓ Предходен кибер инцидент (по-висок риск от повторен)
Кога може да не е приоритет
- Микропредприятие (1-5 души) с минимална обработка на лични данни
- Организация без онлайн присъствие и без електронни бази данни
- Достатъчни собствени резерви за покриване на разходите при инцидент
Внимание: Дори малки компании могат да бъдат обект на ransomware атаки. Средната цена на ransomware атака за МСП в Европа е 150 000-250 000 EUR (включително прекъсване на дейността). Преценете дали можете да поемете този разход.
Нуждаете се от оценка на кибер риска и GDPR съответствие?
- Оценка на GDPR и NIS2 рисковете във Вашата организация
- Подготовка на документация за кибер застраховател
- Процедура за уведомяване при теч (чл. 33-34 GDPR)
- NIS2 gap analysis
Типични премии и покрития в България
Кибер застрахователният пазар в България е в ранна фаза на развитие. Основните доставчици са международни застрахователи, работещи чрез български посредници:
| Параметър | МСП (до 50 служители) | Средни (50-250) | Големи (250+) |
|---|---|---|---|
| Типична годишна премия | 1 500 - 3 000 EUR | 3 000 - 8 000 EUR | 8 000 - 50 000+ EUR |
| Лимит на покритие | 250 000 - 500 000 EUR | 500 000 - 2 000 000 EUR | 2 000 000 - 10 000 000+ EUR |
| Самоучастие (deductible) | 1 000 - 5 000 EUR | 5 000 - 15 000 EUR | 15 000 - 50 000+ EUR |
Основни доставчици на българския пазар
- AIG — CyberEdge полица, един от пионерите на кибер застраховането
- Allianz — Cyber Protect, широко покритие
- Zurich — Cyber Insurance, фокус върху по-големи организации
- Chubb — Cyber Enterprise Risk Management
- Beazley — Информационна сигурност, популярен при технологични компании
Тенденция: След инцидента с Български пощи (2022 г.) и нарастващите ransomware атаки, търсенето на кибер застраховки в България се увеличи значително. Застрахователите обаче ставаха все по-взискателни — изискват доказателства за MFA, пачове, backup тестване и incident response план.
Как да изберете кибер полица — checklist
При избора на кибер застраховка проверете следните елементи:
Какво да проверите в полицата
- ✓ Лимит на покритие: Достатъчен ли е спрямо обема данни и оборота Ви?
- ✓ First-party покритие: Включва ли forensics, уведомяване, business interruption?
- ✓ Third-party покритие: Включва ли правни разходи и граждански искове по чл. 82 GDPR?
- ✓ Ransomware: Покрива ли откупните плащания? (Внимание: някои юрисдикции ги забраняват)
- ✓ Regulatory defence: Покрива ли правна защита пред КЗЛД?
- ✓ Ретроактивна дата: От кога важи покритието за минали инциденти?
- ✓ Incident response екип: Предоставя ли полицата достъп до 24/7 екип?
- ✓ Териториален обхват: Покрива ли инциденти в ЕС/глобално?
Какво да избягвате
- ✗ Полици с прекалено висок deductible (над 10% от лимита)
- ✗ Полици, които изключват ransomware изцяло
- ✗ Полици без покритие на правни разходи за GDPR производства
- ✗ Полици с изключване за „война и тероризъм" без дефиниция на state-sponsored атаки
- ✗ Полици, които изискват одобрение от застрахователя преди всяко действие при инцидент
- ✗ Полици без 24/7 hotline за incident response
Какво ще Ви поиска застрахователят
Преди издаване на полица застрахователите обикновено изискват доказателства за минимално ниво на киберсигурност:
| Изискване | Какво означава | Ефект върху премията |
|---|---|---|
| MFA/2FA | Двуфакторна автентикация за всички потребители | Без MFA — отказ или +50% премия |
| Редовни пачове | Критични уязвимости се отстраняват до 30 дни | Липсата е често основание за отказ |
| Backup процедура | Редовни бекъпи, тествано възстановяване, offline копие | Намалява премията с 10-15% |
| Endpoint protection | EDR/XDR решение на всички устройства | Стандартно изискване |
| Incident response план | Документиран план за реакция при инцидент | Намалява премията с 5-10% |
| Обучение на персонала | Годишно обучение за фишинг и киберсигурност | Намалява премията с 5-10% |
| NIS2 съответствие | Покриване на NIS2 изискванията | Намалява премията с 25-40% |
D&O застраховка и кибер рискове
С NIS2 въвеждането на лична отговорност за ръководството (чл. 20 от Директивата) D&O (Directors & Officers) застраховката придобива ново значение в кибер контекста:
Лична отговорност по NIS2
NIS2 изисква ръководните органи на „съществени" и „важни" субекти да:
- Одобряват мерките за управление на кибер риска
- Наблюдават тяхното прилагане
- Преминат обучение за киберсигурност
- Носят лична отговорност за неспазване
Извод: D&O застраховката е допълнителна защита за управители и членове на борда при NIS2 инциденти. Проверете дали Вашата D&O полица покрива кибер рискове.
Практически случаи от България
Случай 1: Български пощи (2022)
Инцидент: Хакерска атака компрометира лични данни на служители и клиенти.
Глоба от КЗЛД: 1 000 000 лв. (впоследствие потвърдена от съда)
Допълнителни разходи: Forensics, уведомяване, правна защита, подобряване на системите
Извод: Кибер застраховката би покрила разходите за forensics, уведомяване и правна защита, но НЕ самата глоба.
Случай 2: НАП (2019)
Инцидент: Масов теч на данни, засегнал милиони български граждани.
Глоба от КЗЛД: 5 100 000 лв. (впоследствие намалена от съда на 1 000 000 лв.)
Извод: Публичните организации също са изложени на кибер рискове. Глобите за публичния сектор са реални.
Какво показват тези случаи
Ключов извод: Дори ако глобата не е застраховаема, разходите за реакция (forensics, уведомяване, правна защита, business interruption) обикновено многократно надхвърлят глобата. Именно тези разходи покрива кибер застраховката — и те са основната причина да я имате.
Подготовка за кибер инцидент — правна рамка
- Процедура за уведомяване по чл. 33-34 GDPR
- NIS2 gap analysis и план за съответствие
- Incident response план с правна и техническа рамка
- Преглед на кибер застрахователна полица
Връзка между GDPR, NIS2 и кибер застраховка
Трите рамки — GDPR, NIS2 и кибер застраховката — се допълват, но не се припокриват изцяло:
| Аспект | GDPR | NIS2 | Кибер застраховка |
|---|---|---|---|
| Обхват | Лични данни | Мрежова и информационна сигурност | Финансови загуби от кибер инциденти |
| Уведомяване | 72 часа (КЗЛД) | 24 + 72 часа (CSIRT) | Покрива разходите за уведомяване |
| Глоби | До 20 млн. € / 4% | До 10 млн. € / 2% | Обикновено НЕ покрива глоби |
| Мерки за сигурност | Чл. 32 — „подходящи" | Конкретни технически мерки | Изисква минимални контроли за полица |
| Лична отговорност | Не (ЮЛ) | Да (управители) | D&O полица покрива |
Често задавани въпроси
Какво покрива кибер застраховката при теч на лични данни?
Стандартната полица покрива: разходи за уведомяване на субектите (чл. 34 GDPR), дигитална експертиза (forensics), кризисен PR, възстановяване на данни и системи, business interruption, правни разходи за защита пред КЗЛД и граждански искове по чл. 82 GDPR. Тези разходи могат да достигнат стотици хиляди левове.
Покрива ли кибер застраховката GDPR глоби от КЗЛД?
Не, в повечето случаи. Административните глоби по чл. 83 GDPR са принципно незастраховаеми в повечето юрисдикции на ЕС (включително Германия, Италия, Франция). В България въпросът е неуреден — няма съдебна практика. Само Финландия и Норвегия допускат застраховане на GDPR глоби. Покрити са обаче разходите за правна защита в производството пред КЗЛД.
Кога ми е нужна кибер застраховка и задължителна ли е?
Кибер застраховката не е законово задължителна в България. Силно препоръчителна е ако: обработвате лични данни на голям брой субекти, попадате в обхвата на NIS2, приходите Ви зависят от ИТ системи, или партньори/клиенти го изискват договорно. Средната цена на ransomware атака за МСП е 150 000-250 000 EUR — преценете дали можете да поемете този разход.
Как NIS2 / Законът за киберсигурността влияят на застрахователните ми нужди?
NIS2 (в сила от февруари 2026 г.) разшири обхвата от 8 на 18 сектора и въведе санкции до 10 млн. евро. Ако попадате в обхват, финансовият риск се увеличава. Положителната страна: NIS2 съответствието намалява премиите с 25-40%. Застрахователите вече изискват NIS2-ниво на контрол като предпоставка.
Какви фактори определят цената на кибер застраховката?
Основни фактори: годишен оборот, брой служители, сектор на дейност, обем и тип лични данни, ниво на киберсигурност (MFA, backup, EDR), предходни инциденти, международна дейност. Наличието на NIS2 съответствие, ISO 27001 сертификация и incident response план значително намаляват премията.
Какви мерки за сигурност изискват застрахователите преди издаване на полица?
Минималните изисквания обикновено включват: MFA за всички потребители (без MFA — отказ или +50% премия), редовно пачване на критични уязвимости, backup процедура с тествано възстановяване, endpoint protection (EDR/XDR), документиран incident response план. Все по-често — и NIS2 gap analysis.
Покрива ли D&O застраховката кибер инциденти по NIS2?
NIS2 въвежда лична отговорност за ръководителите при неспазване на мерките за киберсигурност. Стандартната D&O полица може да покрие правни разходи и обезщетения, но проверете конкретно дали покрива кибер рискове — не всички D&O полици го включват. Препоръчително е допълнение (endorsement) за кибер отговорност.
Какво трябва да проверя в условията на кибер застрахователната полица?
Ключови елементи: лимит на покритие (адекватен ли е), самоучастие (deductible), обхват на first-party и third-party покритие, ransomware покритие, ретроактивна дата, изключения (война, умисъл, известни уязвимости), 24/7 incident response hotline, териториален обхват и процедура за известяване на застрахователя при инцидент.
Комплексна GDPR + NIS2 подготовка
- GDPR и NIS2 gap analysis
- Процедура за реакция при кибер инцидент
- Подготовка за кибер застраховане
- D&O рискове при кибер инциденти
- Обучение на ръководството
Тази статия отразява правното положение към 26 март 2026 г. Информацията е с информативен характер и не представлява правна консултация или застрахователна препоръка. Конкретните условия на кибер застрахователните полици варират значително между доставчиците. За конкретни въпроси се обърнете към квалифициран специалист по защита на данните и/или застрахователен брокер.
Получавайте нови статии директно в пощата си
Практически анализи по GDPR и киберсигурност. Без спам.
Можете да се отпишете по всяко време. Политика за поверителност
Адв. Димитрова е CIPP/E сертифициран специалист по защита на лични данни с дългогодишен опит в правото на ЕС. Адв. Чолаков е експерт по GDPR съответствие, международни трансфери на данни и whistleblowing. Заедно консултират над 90 компании за пълно GDPR съответствие.