NIS2 in Bulgarien

1. Schnellüberblick zur KMU-Anwendbarkeit in Bulgarien

Gilt NIS2 für KMU in Bulgarien?

Ja — abhängig von Sektor und Größe.

• Automatische Anwendbarkeit auf mittelgroße Einrichtungen (≥50 Beschäftigte und ≥€10 Millionen Umsatz oder Bilanzsumme) in erfassten Sektoren.
• Kleine oder Kleinst-Einrichtungen sind nur einbezogen, wenn sie förmlich benannt werden oder in hochkritischen Sektoren tätig sind.
• Gilt für in Bulgarien ansässige Einrichtungen und in bestimmten Fällen für ausländische digitale Anbieter, die den bulgarischen Markt bedienen.

KMU, die in regulierten Sektoren tätig sind, sollten frühzeitig eine Umfangsprüfung im Rahmen des nationalen Cybersicherheitsregimes Bulgariens vornehmen.

2. Überblick über die NIS2-Umsetzung in Bulgarien

Bulgarien hat die NIS2-Richtlinie durch das Gesetz zur Änderung und Ergänzung des Gesetzes über die Cybersicherheit umgesetzt, das am 5. Februar 2026 vom Parlament verabschiedet, am 13. Februar 2026 im Staatsanzeiger verkündet und am 17. Februar 2026 in Kraft getreten ist — etwa 16 Monate nach der EU-Frist vom 17. Oktober 2024.

Das geänderte Gesetz über die Cybersicherheit steht im Einklang mit der Richtlinie (EU) 2022/2555 und erweitert den Anwendungsbereich der regulierten Einrichtungen erheblich, führt die Klassifizierung wesentlicher/wichtiger Einrichtungen ein und modernisiert Governance-Regeln, Meldepflichten, Aufsichtsbefugnisse und Sanktionsmechanismen.

Bulgariens Umsetzung weist zwei bemerkenswerte nationale Abweichungen von der Richtlinie auf: Das Gesetz behält ein administratives Bestimmungsmodell bei (Einrichtungen registrieren sich nicht selbst; zuständige Behörden bestimmen sie gemäß einer vom Ministerrat innerhalb von sechs Monaten nach Inkrafttreten zu erlassenden Methodik), und es schreibt Cybersicherheitsschulungen für Führungskräfte in festen Zweijahresintervallen vor, was strenger ist als der risikobasierte Ansatz der Richtlinie. Die Kernpflichten gelten sofort, mit reduzierten Sanktionen für Verstöße vor dem 1. Juni 2026.

3. Anwendungsbereich in Bulgarien

Der Anwendungsbereich Bulgariens spiegelt die Mindestsektoren der Richtlinie wider, ohne bestätigte nationale Erweiterungen.

4. Größenkriterien und KMU-Anwendbarkeit in Bulgarien

Die Basisschwellen gelten:

• ≥50 Beschäftigte und
• ≥€10 Millionen Jahresumsatz oder Bilanzsumme.

Einrichtungen, die in erfassten Sektoren beide Kriterien erfüllen, fallen automatisch in den Anwendungsbereich.

Kleine und Kleinstunternehmen können benannt werden, wenn sie Dienste erbringen, die für die gesellschaftliche oder wirtschaftliche Stabilität wesentlich sind.

Bulgarische Behörden behalten formelle Benennungsbefugnisse, sofern systemisches Risiko oder nationale Sicherheitsaspekte eine Einbeziehung rechtfertigen.

5. Einstufungsrahmen für Einrichtungen in Bulgarien

Einrichtungen werden eingestuft als:

• Wesentliche Einrichtungen — Unterliegen proaktiver Aufsicht und periodischem Compliance-Monitoring.
• Wichtige Einrichtungen — Unterliegen primär reaktiver Aufsicht, ausgelöst durch Vorfälle oder Hinweise auf Nichtkonformität.

Die Klassifizierung wird nach Sektor und Größe bestimmt, erfolgt jedoch nicht im Wege der Selbsteinschätzung. Bulgarien behält ein administratives Bestimmungsmodell bei: Der Ministerrat muss innerhalb von sechs Monaten nach Inkrafttreten des Gesetzes eine Methodik erlassen, nach der die zuständigen nationalen Behörden weitere fünf Monate Zeit haben, Einrichtungen förmlich zu identifizieren und zu bestimmen und den Minister für e-Government zur Aufnahme in das nationale Register zu benachrichtigen. Einrichtungen sollten dennoch ihren Anwendungsbereich eigenständig bewerten und die Vorschriften ab dem Zeitpunkt einhalten, ab dem die gesetzlichen Kriterien erfüllt sind — das Fehlen einer förmlichen Bestimmung verschiebt die Pflichten nicht.

Der bulgarische Rahmen spiegelt die zweistufige Struktur der Richtlinie wider.

6. Anforderungen an das Management von Cybersicherheitsrisiken in Bulgarien

Das nationale Regime Bulgariens entspricht den Basisverpflichtungen der Richtlinie. Erfasste Einrichtungen müssen angemessene technische und organisatorische Maßnahmen umsetzen, die Folgendes abdecken:

• Risikobeurteilung und Systemsicherheit
• Vorbeugung, Erkennung und Behandlung von Vorfällen
• Geschäftskontinuität und Notfallwiederherstellung
• NIS2-Lieferketten-Risikomanagement in Bulgarien
• Sichere Beschaffung und Wartung von IKT-Systemen
• Zugriffs- und Authentifizierungskontrollen
• Verschlüsselungs- und kryptographische Schutzmaßnahmen
• Schwachstellenmanagement und Offenlegung
• Cybersicherheitsschulungen für Beschäftigte

Maßnahmen müssen verhältnismäßig zur Risikolage sein und dem Stand der Technik entsprechen. Eine Ausrichtung an ISO/IEC 27001 und anerkannter bulgarischer Cybersicherheitsleitlinien wird empfohlen.

7. Managementhaftung und Governance in Bulgarien

Leitungsorgane müssen Maßnahmen zum Management von Cybersicherheitsrisiken genehmigen und deren Umsetzung überwachen.

Nach dem nationalen Rahmen Bulgariens gilt:

• Vorstände sind für die Compliance-Aufsicht verantwortlich.
• Die Geschäftsleitung muss angemessene Cybersicherheitsexpertise sicherstellen. Bulgariens Umsetzung schreibt Cybersicherheitsschulungen für Führungskräfte in festen Zweijahresintervallen vor — strenger als der risikobasierte Ansatz der Richtlinie.
• Administrative Durchsetzung kann auf Governance-Versagen abzielen.
• Die Suspendierung von Führungsfunktionen kann im Rahmen richtlinienkonformer Mechanismen verfügbar sein.

Die NIS2-Erwartungen an die Managementhaftung in Bulgarien heben Cybersicherheitsgovernance zu einer Verantwortung auf Führungsebene an.

8. Meldepflichten für Vorfälle in Bulgarien

9. Aufsichtsbehörden und Durchsetzungsmodell in Bulgarien

Primäre Behörden: Vom Ministerrat benannte nationale zuständige Behörden, darunter das Verteidigungsministerium, das Innenministerium und die Staatliche Agentur für Nationale Sicherheit, je nach Sektor. Der Minister für e-Government führt das nationale Register wesentlicher und wichtiger Einrichtungen.

Bulgarien betreibt ein Mehrbehörden-Aufsichtsmodell, bei dem nationale zuständige Behörden die primäre Sektoraufsicht übernehmen und der Minister für e-Government das nationale Einrichtungsregister führt.

Supervisory powers include:

• Anforderung von Dokumentation und Informationen
• Sicherheitsaudits
• Vor-Ort-Inspektionen
• Verbindliche Compliance-Anweisungen
• Teilnahme an der EU-Cybersicherheitskoordinierung
• Gerichtlich angeordnete Aussetzung von Lizenzen, Registrierungen, Zertifikaten oder Genehmigungen (wesentliche Einrichtungen)
• Gerichtlich angeordnetes Verbot der Ausübung von Führungsfunktionen (wesentliche Einrichtungen, schwere Verstöße)

Das Durchsetzungsmodell spiegelt die Kooperations- und Aufsichtsmechanismen der Richtlinie wider.

10. NIS2-Bußgelder und Sanktionen in Bulgarien

Bulgarien wendet richtlinienkonforme Verwaltungssanktionen an.

Die Durchsetzung von NIS2-Bußgeldern in Bulgarien kann zudem Folgendes umfassen:

• Verbindliche Abhilfemaßnahmen
• Öffentliche Benennung nichtkonformer Einrichtungen
• Aussetzung von Zertifizierungen oder Genehmigungen
• Befugnisse zur Suspendierung von Leitungsfunktionen

11. NIS2-Lieferkette und Lieferantensicherheit in Bulgarien

Einrichtungen müssen Drittparteienkontrollen zur Cybersicherheit implementieren, einschließlich:

• Bewertungen von Lieferantenrisiken
• Vertragliche Weitergabe von Sicherheitsanforderungen
• Laufende Überwachung von IKT-Lieferanten
• Analyse von Klumpenrisiken
• Minderung der Vorfallausbreitung

Der bulgarische Rahmen entspricht den Basisanforderungen der Richtlinie für die Aufsicht über die Lieferkette.

12. Registrierungs- und Selbstidentifikationspflichten in Bulgarien

Entities within scope must:

• Förmliche Bestimmung abwarten durch nationale zuständige Behörden gemäß der vom Ministerrat innerhalb von sechs Monaten nach dem 17. Februar 2026 zu erlassenden Methodik. Einrichtungen müssen sich nicht selbst über ein öffentliches Portal registrieren.
• Unternehmensidentifikationsdaten bereitstellen
• Sektorklassifizierung offenlegen
• Aktuelle Kontaktinformationen pflegen

Der Ministerrat muss innerhalb von sechs Monaten nach Inkrafttreten des Gesetzes eine Bestimmungsmethodik erlassen (bis etwa 17. August 2026). Nach Erlass haben die zuständigen Behörden weitere fünf Monate zur Identifizierung und Bestimmung von Einrichtungen und Benachrichtigung des Ministers für e-Government. Bestimmte Kategorien digitaler Infrastrukturanbieter müssen Identifikationsinformationen direkt an die zuständigen Behörden übermitteln. Sekundärrecht wird die Registerverfahren weiter spezifizieren.

Obwohl keine förmliche Selbstregistrierung erforderlich ist, müssen Einrichtungen, die die gesetzlichen Kriterien erfüllen, eigenständig prüfen, ob sie in den Anwendungsbereich fallen, und alle geltenden Pflichten ab dem Zeitpunkt einhalten, ab dem diese Kriterien erfüllt sind — die förmliche Bestimmung verschiebt die Pflichten nicht.

13. Zusammenspiel mit GDPR und anderen Gesetzen in Bulgarien

Die Datenschutz-Grundverordnung gilt weiterhin parallel.

Überschneidungen umfassen:

• 72-Stunden-Meldung von Verletzungen personenbezogener Daten
• Koordination der Aufsichtsbehörden
• Parallele Untersuchungen zu Cybersicherheit und Datenschutz
• Sektorspezifische bulgarische Cybersicherheitsregeln

Ein Cybervorfall, der personenbezogene Daten betrifft, kann doppelte Meldepflichten auslösen.

14. Grenzüberschreitende Anwendbarkeit

Einrichtungen mit ihrer Hauptniederlassung in Bulgarien unterliegen für grenzüberschreitende Tätigkeiten der bulgarischen Aufsicht.

Ausländische digitale Anbieter, die bulgarische Kunden bedienen, können je nach Niederlassung und Servicestruktur in den Anwendungsbereich fallen.

Vertretungspflichten folgen den Richtlinienstandards für Nicht-EU-Anbieter.

15. Umsetzungszeitplan in Bulgarien

• Annahme der Richtlinie: 2022
• Gesetzesverabschiedung: 5. Februar 2026 (im Staatsanzeiger verkündet am 13. Februar 2026)
• Inkrafttreten: 17. Februar 2026 (keine Übergangsfrist; reduzierte Sanktionen für Verstöße vor dem 1. Juni 2026)
• Kommissionsnotifizierung: Begründete Stellungnahme der EK im Mai 2025 (vor Verabschiedung); Vollständigkeit der Notifizierung nach Verabschiedung im Februar 2026 wird überprüft
• Bestimmungsmethodik: Methodik des Ministerrats voraussichtlich bis 17. August 2026 (sechs Monate nach Inkrafttreten); Einrichtungsbestimmung etwa fünf Monate danach abzuschließen

Bulgarien hat die Umsetzung im Februar 2026 abgeschlossen, etwa 16 Monate nach der EU-Frist. Sekundärrecht und das Verfahren zur Einrichtungsbestimmung laufen; Einrichtungen sollten unabhängige Bewertungen des Anwendungsbereichs durchführen, ohne auf eine förmliche Benachrichtigung durch die Behörden zu warten.

16. Zentrale Erkenntnisse für KMU in Bulgarien

• Mittelgroße Einrichtungen in regulierten Sektoren fallen automatisch in den Anwendungsbereich.
• Kleine Einrichtungen können bestimmt werden, wenn sie für die gesellschaftliche Stabilität kritisch sind.
• Governance auf Vorstandsebene ist verpflichtend. Bulgarien schreibt Cybersicherheitsschulungen für Führungskräfte in Zweijahresintervallen vor — planen Sie diese jetzt ein.
• Die Meldepflichten folgen den Fristen von 24 Std. / 72 Std. / 1 Monat.
• Bußgelder können bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes betragen.
• Lieferanten- und IKT-Risikomanagement ist erforderlich. Bulgariens Gesetz führt zusätzliche Risikomanagementpflichten über die Richtlinie hinaus ein (einschließlich Änderungsmanagement und ergänzender Meldepflichten) — prüfen Sie diese sorgfältig bei Tätigkeiten in mehreren EU-Ländern.
• Frühzeitige Risikobewertungen reduzieren das Durchsetzungsrisiko.

FAQ: NIS2 Bulgarien KMU-Leitfaden