NIS2 in Bulgarien

1. Schnellüberblick zur KMU-Anwendbarkeit in Bulgarien

Gilt NIS2 für KMU in Bulgarien?

Ja — abhängig von Sektor und Größe.

• Automatische Anwendbarkeit auf mittelgroße Einrichtungen (≥50 Beschäftigte und ≥€10 Millionen Umsatz oder Bilanzsumme) in erfassten Sektoren.
• Kleine oder Kleinst-Einrichtungen sind nur einbezogen, wenn sie förmlich benannt werden oder in hochkritischen Sektoren tätig sind.
• Gilt für in Bulgarien ansässige Einrichtungen und in bestimmten Fällen für ausländische digitale Anbieter, die den bulgarischen Markt bedienen.

KMU, die in regulierten Sektoren tätig sind, sollten frühzeitig eine Umfangsprüfung im Rahmen des nationalen Cybersicherheitsregimes Bulgariens vornehmen.

2. Überblick über die NIS2-Umsetzung in Bulgarien

Bulgarien setzt NIS2 durch Änderungen am Cybersecurity Act um, der als zentrales nationales Gesetz für die Sicherheit von Netz- und Informationssystemen dient.

Der aktualisierte Rechtsrahmen steht im Einklang mit der Richtlinie (EU) 2022/2555 und erweitert Bulgariens bestehende Cybersicherheitspflichten entsprechend den gestärkten EU-Anforderungen.

Die revidierte Rechtsnorm modernisiert Governance-Regeln, Strukturen für Vorfallmeldungen, Aufsichtsbefugnisse und Sanktionsmechanismen.

3. Anwendungsbereich in Bulgarien

Der Anwendungsbereich Bulgariens spiegelt die Mindestsektoren der Richtlinie wider, ohne bestätigte nationale Erweiterungen.

4. Größenkriterien und KMU-Anwendbarkeit in Bulgarien

Die Basisschwellen gelten:

• ≥50 Beschäftigte und
• ≥€10 Millionen Jahresumsatz oder Bilanzsumme.

Einrichtungen, die in erfassten Sektoren beide Kriterien erfüllen, fallen automatisch in den Anwendungsbereich.

Kleine und Kleinstunternehmen können benannt werden, wenn sie Dienste erbringen, die für die gesellschaftliche oder wirtschaftliche Stabilität wesentlich sind.

Bulgarische Behörden behalten formelle Benennungsbefugnisse, sofern systemisches Risiko oder nationale Sicherheitsaspekte eine Einbeziehung rechtfertigen.

5. Einstufungsrahmen für Einrichtungen in Bulgarien

Einrichtungen werden eingestuft als:

• Wesentliche Einrichtungen — Unterliegen proaktiver Aufsicht und periodischem Compliance-Monitoring.
• Wichtige Einrichtungen — Unterliegen primär reaktiver Aufsicht, ausgelöst durch Vorfälle oder Hinweise auf Nichtkonformität.

Die Einstufung wird durch Sektor und Größe bestimmt. Zuständige Behörden können Einrichtungen neu einstufen, wenn operative Auswirkungen oder Risikolage eine verstärkte Aufsicht rechtfertigen.

Der bulgarische Rahmen spiegelt die zweistufige Struktur der Richtlinie wider.

6. Anforderungen an das Management von Cybersicherheitsrisiken in Bulgarien

Das nationale Regime Bulgariens entspricht den Basisverpflichtungen der Richtlinie. Erfasste Einrichtungen müssen angemessene technische und organisatorische Maßnahmen umsetzen, die Folgendes abdecken:

• Risikobeurteilung und Systemsicherheit
• Vorbeugung, Erkennung und Behandlung von Vorfällen
• Geschäftskontinuität und Notfallwiederherstellung
• NIS2-Lieferketten-Risikomanagement in Bulgarien
• Sichere Beschaffung und Wartung von IKT-Systemen
• Zugriffs- und Authentifizierungskontrollen
• Verschlüsselungs- und kryptographische Schutzmaßnahmen
• Schwachstellenmanagement und Offenlegung
• Cybersicherheitsschulungen für Beschäftigte

Maßnahmen müssen verhältnismäßig zur Risikolage sein und dem Stand der Technik entsprechen. Eine Ausrichtung an ISO/IEC 27001 und anerkannter bulgarischer Cybersicherheitsleitlinien wird empfohlen.

7. Managementhaftung und Governance in Bulgarien

Leitungsorgane müssen Maßnahmen zum Management von Cybersicherheitsrisiken genehmigen und deren Umsetzung überwachen.

Nach dem nationalen Rahmen Bulgariens gilt:

• Gremien sind für die Aufsicht über die Compliance verantwortlich.
• Die Geschäftsleitung muss angemessene Cybersicherheitskompetenz sicherstellen.
• Administratives Enforcement kann auf Governance-Fehler abzielen.
• Die Suspendierung von Leitungsfunktionen kann unter richtlinienkonformen Mechanismen möglich sein.

Die NIS2-Erwartungen an die Managementhaftung in Bulgarien heben Cybersicherheitsgovernance zu einer Verantwortung auf Führungsebene an.

8. Meldepflichten für Vorfälle in Bulgarien

9. Aufsichtsbehörden und Durchsetzungsmodell in Bulgarien

Zuständige Hauptbehörde: State e-Government Agency (SEGA).

Bulgarien betreibt ein zentrales Aufsichtsmodell, unterstützt bei Bedarf durch sektorspezifische Regulierer.

Supervisory powers include:

• Anforderungen an Unterlagen und Auskünfte
• Sicherheitsaudits
• Vor-Ort-Inspektionen
• Verbindliche Compliance-Anordnungen
• Teilnahme an EU‑Cybersicherheitskoordination

Das Durchsetzungsmodell spiegelt die Kooperations- und Aufsichtsmechanismen der Richtlinie wider.

10. NIS2-Bußgelder und Sanktionen in Bulgarien

Bulgarien wendet richtlinienkonforme Verwaltungssanktionen an.

Die Durchsetzung von NIS2-Bußgeldern in Bulgarien kann zudem Folgendes umfassen:

• Verbindliche Abhilfemaßnahmen
• Öffentliche Benennung nichtkonformer Einrichtungen
• Aussetzung von Zertifizierungen oder Genehmigungen
• Befugnisse zur Suspendierung von Leitungsfunktionen

11. NIS2-Lieferkette und Lieferantensicherheit in Bulgarien

Einrichtungen müssen Drittparteienkontrollen zur Cybersicherheit implementieren, einschließlich:

• Bewertungen von Lieferantenrisiken
• Vertragliche Weitergabe von Sicherheitsanforderungen
• Laufende Überwachung von IKT-Lieferanten
• Analyse von Klumpenrisiken
• Minderung der Vorfallausbreitung

Der bulgarische Rahmen entspricht den Basisanforderungen der Richtlinie für die Aufsicht über die Lieferkette.

12. Registrierungs- und Selbstidentifikationspflichten in Bulgarien

Entities within scope must:

• Registrierung bei den zuständigen Behörden
• Angabe unternehmensbezogener Identifikationsdaten
• Angabe der Sektorzuordnung
• Aktuelle Kontaktdaten pflegen

Verfahrensfristen folgen dem bulgarischen Umsetzungsrahmen. Nach aktuellem Stand der Umsetzung folgt Bulgarien dem NIS2-Richtlinien-Basisrahmen. Nationale Durchführungsdetails können spezifische Pflichten präzisieren.

Selbstidentifikation ist erforderlich für Einrichtungen, die die gesetzlichen Schwellenwerte erfüllen.

13. Zusammenspiel mit GDPR und anderen Gesetzen in Bulgarien

Die Datenschutz-Grundverordnung gilt weiterhin parallel.

Überschneidungen umfassen:

• 72-Stunden-Meldung von Verletzungen personenbezogener Daten
• Koordination der Aufsichtsbehörden
• Parallele Untersuchungen zu Cybersicherheit und Datenschutz
• Sektorspezifische bulgarische Cybersicherheitsregeln

Ein Cybervorfall, der personenbezogene Daten betrifft, kann doppelte Meldepflichten auslösen.

14. Grenzüberschreitende Anwendbarkeit

Einrichtungen mit ihrer Hauptniederlassung in Bulgarien unterliegen für grenzüberschreitende Tätigkeiten der bulgarischen Aufsicht.

Ausländische digitale Anbieter, die bulgarische Kunden bedienen, können je nach Niederlassung und Servicestruktur in den Anwendungsbereich fallen.

Vertretungspflichten folgen den Richtlinienstandards für Nicht-EU-Anbieter.

15. Umsetzungszeitplan in Bulgarien

• Annahme der Richtlinie: 2022
• Nationale Gesetzesänderungen: 2024–2025
• Inkrafttreten: Nach nationaler Veröffentlichung
• Notifizierung an die Kommission: Gemäß EU-Verfahren
• Compliance-Meilenstein: Richtlinienkonforme Fristen

Der bulgarische Gesetzgebungsprozess entspricht dem EU-Umsetzungsfahrplan, vorbehaltlich formaler Notifizierungsschritte.

16. Zentrale Erkenntnisse für KMU in Bulgarien

• Mittelgroße Einrichtungen in erfassten Sektoren sind automatisch im Anwendungsbereich.
• Kleine Einrichtungen können benannt werden, wenn sie für die gesellschaftliche Stabilität wesentlich sind.
• Governance auf Vorstandsebene ist verpflichtend.
• Vorfalldokumentation folgt den Fristen 24h / 72h / 1 Monat.
• Finanzielle Sanktionen können bis zu €10 million oder 2% des globalen Umsatzes erreichen.
• Risikomanagement für Lieferanten und IKT ist erforderlich.
• Frühe Risikoanalysen verringern das Durchsetzungsrisiko.

FAQ: NIS2 Bulgarien KMU-Leitfaden