NIS2 en Bulgaria

1. Instantánea rápida de aplicabilidad para PYMES en Bulgaria

¿Se aplica NIS2 a las pymes en 1. Instantánea rápida de aplicabilidad para PYMES en Bulgaria?

Sí — dependiendo del sector y del tamaño.

• Aplicabilidad automática a entidades medianas (≥50 empleados y ≥€10 million de volumen de negocios o total del balance) que operen en los sectores cubiertos.
• Las entidades pequeñas o micro solo se incluyen si han sido designadas formalmente o si operan en sectores de alta criticidad.
• Se aplica a entidades establecidas en Bulgaria y, en determinados casos, a proveedores digitales extranjeros que atienden al mercado búlgaro.

Las PYMES que operan en sectores regulados deben realizar evaluaciones tempranas de ámbito bajo el régimen nacional de ciberseguridad de Bulgaria.

2. Panorama de la implementación de NIS2 en Bulgaria

Bulgaria está implementando NIS2 mediante enmiendas a la Ley de Ciberseguridad, que sirve como la norma nacional central que regula la seguridad de redes y sistemas de información.

El marco legislativo actualizado se alinea con la Directiva (UE) 2022/2555 y amplía las obligaciones de ciberseguridad existentes en Bulgaria para reflejar los requisitos reforzados de la UE.

La ley revisada moderniza las normas de gobernanza, las estructuras de notificación de incidentes, las facultades de las autoridades supervisoras y los mecanismos sancionadores.

3. Ámbito de aplicación en Bulgaria

El alcance de Bulgaria refleja las categorías sectoriales mínimas de la Directiva sin expansión nacional confirmada.

4. Umbrales de tamaño y aplicabilidad a PYMES en Bulgaria

Se aplican los umbrales básicos:

• ≥50 empleados y
• ≥€10 million de volumen de negocios anual o total del balance.

Las entidades que cumplan ambos criterios dentro de los sectores cubiertos entran automáticamente en el ámbito de aplicación.

Las pequeñas y microempresas aún pueden ser designadas cuando presten servicios esenciales para la estabilidad social o económica.

Las autoridades búlgaras mantienen facultades formales de designación cuando el riesgo sistémico o las consideraciones de seguridad nacional justifiquen la inclusión.

5. Marco de clasificación de entidades en Bulgaria

Las entidades se clasifican como:

• Entidades Esenciales — Sujetos a supervisión proactiva y seguimiento periódico del cumplimiento.
• Entidades Importantes — Sujetos principalmente a supervisión reactiva activada por incidentes o evidencias de incumplimiento.

La clasificación se determina por sector y tamaño. Las autoridades competentes pueden reclasificar entidades cuando el impacto operativo o la exposición al riesgo justifiquen una supervisión reforzada.

El marco de Bulgaria refleja la estructura de dos niveles de la Directiva.

6. Requisitos de gestión de riesgos de ciberseguridad en Bulgaria

El régimen nacional de Bulgaria se alinea con las obligaciones base de la Directiva. Las entidades dentro del ámbito deben implantar medidas técnicas y organizativas proporcionadas que aborden:

• Análisis de riesgos y seguridad del sistema
• Prevención, detección y gestión de incidentes
• Continuidad de negocio y recuperación ante desastres
• Gestión del riesgo de la cadena de suministro NIS2 en Bulgaria
• Adquisición y mantenimiento seguros de sistemas TIC
• Controles de control de acceso y autenticación
• Salvaguardias de cifrado y criptografía
• Gestión y divulgación de vulnerabilidades
• Formación en ciberseguridad para el personal

Las medidas deben ser proporcionales a la exposición al riesgo y alinearse con el estado de la técnica. Se fomenta la alineación con ISO/IEC 27001 y la guía de ciberseguridad reconocida en Bulgaria.

7. Responsabilidad de la dirección y gobernanza en Bulgaria

Los órganos de administración deben aprobar las medidas de gestión de riesgos de ciberseguridad y supervisar su aplicación.

Bajo el marco nacional de Bulgaria:

• Los consejos de administración son responsables de la supervisión del cumplimiento.
• El liderazgo sénior debe garantizar una pericia adecuada en ciberseguridad.
• La ejecución administrativa puede dirigirse a fallos de gobernanza.
• La suspensión de funciones directivas puede estar disponible bajo mecanismos alineados con la Directiva.

Las expectativas de responsabilidad de la dirección bajo NIS2 en Bulgaria elevan la gobernanza de ciberseguridad a una responsabilidad a nivel ejecutivo.

8. Obligaciones de notificación de incidentes en Bulgaria

9. Autoridades supervisoras y modelo de ejecución en Bulgaria

Autoridad principal: State e-Government Agency (SEGA).

Bulgaria opera un modelo de supervisión centralizado, con apoyo de reguladores sectoriales cuando sea necesario.

Supervisory powers include:

• Requerimientos de documentación e información
• Auditorías de seguridad
• Inspecciones in situ
• Instrucciones de cumplimiento vinculantes
• Participación en la coordinación de ciberseguridad de la UE

El modelo de ejecución refleja los mecanismos de cooperación y supervisión a nivel de la Directiva.

10. Multas y sanciones NIS2 en Bulgaria

Bulgaria aplica sanciones administrativas alineadas con la Directiva.

La ejecución de las multas de NIS2 en Bulgaria también puede incluir:

• Órdenes de subsanación vinculantes
• Identificación pública de las entidades incumplidoras
• Suspensión de la certificación o la autorización
• Facultades de suspensión de funciones directivas

11. Seguridad de la cadena de suministro y de proveedores NIS2 en Bulgaria

Las entidades deben implantar controles de ciberseguridad de terceros, incluyendo:

• Evaluaciones de riesgo de proveedores
• Traslado contractual de requisitos de seguridad
• Supervisión continua de proveedores TIC
• Análisis del riesgo de concentración
• Mitigación de la propagación de incidentes

El marco de Bulgaria se alinea con las expectativas base de la Directiva para la supervisión de la cadena de suministro.

12. Deberes de registro y autoidentificación en Bulgaria

Entities within scope must:

• Registrarse ante las autoridades competentes
• Facilitar los datos de identificación corporativa
• Comunicar la clasificación sectorial
• Mantener la información de contacto actualizada

Los plazos procedimentales siguen el marco de implementación de Bulgaria. Según el estado actual de transposición, Bulgaria sigue el marco base de la Directiva NIS2. Los detalles nacionales de implementación pueden afinar obligaciones específicas.

Se requiere la autoidentificación para las entidades que cumplan los umbrales legales.

13. Interacción con el GDPR y otras leyes en Bulgaria

El Reglamento General de Protección de Datos continúa aplicándose de forma concurrente.

Las áreas de solapamiento incluyen:

• Notificación de brechas de datos personales en 72 horas
• Coordinación entre autoridades supervisoras
• Investigaciones paralelas de ciberseguridad y protección de datos
• Normas búlgaras de ciberseguridad específicas por sector

Un incidente cibernético que afecte a datos personales puede activar obligaciones de doble notificación.

14. Aplicabilidad transfronteriza

Las entidades con su principal establecimiento en Bulgaria son supervisadas por las autoridades búlgaras para operaciones transfronterizas.

Los proveedores digitales extranjeros que atiendan a clientes búlgaros pueden entrar en el ámbito dependiendo del establecimiento y la estructura del servicio.

Los requisitos de representación siguen los estándares de la Directiva para proveedores no pertenecientes a la UE.

15. Calendario de implementación en Bulgaria

• Adopción de la Directiva: 2022
• Enmiendas legislativas nacionales: 2024–2025
• Entrada en vigor: Tras la publicación nacional
• Notificación a la Comisión: De conformidad con el procedimiento de la UE
• Hito de cumplimiento: Plazos alineados con la Directiva

El proceso legislativo de Bulgaria se alinea con el calendario de transposición de la UE, sujeto a pasos formales de notificación.

16. Aspectos clave para PYMES en Bulgaria

• Las entidades medianas en sectores cubiertos están automáticamente dentro del ámbito.
• Las entidades pequeñas pueden ser designadas si son críticas para la estabilidad social.
• La gobernanza a nivel de consejo es obligatoria.
• La notificación de incidentes sigue los plazos de 24h / 72h / 1 mes.
• Las sanciones financieras pueden alcanzar €10 million o 2% del volumen de negocios global.
• Se requiere la gestión del riesgo de proveedores y TIC.
• Las evaluaciones tempranas de riesgo reducen la exposición a la ejecución.

FAQ: Guía NIS2 para PYMES en Bulgaria