NIS2 en Bulgaria

1. Instantánea rápida de aplicabilidad para PYMES en Bulgaria

¿Se aplica NIS2 a las pymes en 1. Instantánea rápida de aplicabilidad para PYMES en Bulgaria?

Sí — dependiendo del sector y del tamaño.

• Aplicabilidad automática a entidades medianas (≥50 empleados y ≥€10 million de volumen de negocios o total del balance) que operen en los sectores cubiertos.
• Las entidades pequeñas o micro solo se incluyen si han sido designadas formalmente o si operan en sectores de alta criticidad.
• Se aplica a entidades establecidas en Bulgaria y, en determinados casos, a proveedores digitales extranjeros que atienden al mercado búlgaro.

Las PYMES que operan en sectores regulados deben realizar evaluaciones tempranas de ámbito bajo el régimen nacional de ciberseguridad de Bulgaria.

2. Panorama de la implementación de NIS2 en Bulgaria

Bulgaria ha transpuesto la NIS2 mediante la Ley de modificación y complemento de la Ley de Ciberseguridad, aprobada por el Parlamento el 5 de febrero de 2026, promulgada en la Gaceta Oficial el 13 de febrero de 2026 y entrada en vigor el 17 de febrero de 2026 — aproximadamente 16 meses después del plazo de la UE del 17 de octubre de 2024.

La Ley de Ciberseguridad modificada se alinea con la Directiva (UE) 2022/2555 y amplía significativamente el ámbito de las entidades reguladas, introduce la clasificación de entidades esenciales/importantes y moderniza las normas de gobernanza, las estructuras de notificación de incidentes, las facultades de supervisión y los mecanismos de sanción.

La transposición de Bulgaria incluye dos desviaciones nacionales notables respecto de la Directiva: la ley mantiene un modelo de designación administrativa (las entidades no se autorregistran; las autoridades competentes las designan mediante una metodología que el Consejo de Ministros debe adoptar en un plazo de seis meses desde la entrada en vigor), e impone formación obligatoria en ciberseguridad para la dirección a intervalos fijos de dos años, más estricta que el enfoque basado en riesgos de la Directiva. Las obligaciones básicas se aplican de inmediato, con sanciones reducidas para infracciones cometidas antes del 1 de junio de 2026.

3. Ámbito de aplicación en Bulgaria

El alcance de Bulgaria refleja las categorías sectoriales mínimas de la Directiva sin expansión nacional confirmada.

4. Umbrales de tamaño y aplicabilidad a PYMES en Bulgaria

Se aplican los umbrales básicos:

• ≥50 empleados y
• ≥€10 million de volumen de negocios anual o total del balance.

Las entidades que cumplan ambos criterios dentro de los sectores cubiertos entran automáticamente en el ámbito de aplicación.

Las pequeñas y microempresas aún pueden ser designadas cuando presten servicios esenciales para la estabilidad social o económica.

Las autoridades búlgaras mantienen facultades formales de designación cuando el riesgo sistémico o las consideraciones de seguridad nacional justifiquen la inclusión.

5. Marco de clasificación de entidades en Bulgaria

Las entidades se clasifican como:

• Entidades Esenciales — Sujetos a supervisión proactiva y seguimiento periódico del cumplimiento.
• Entidades Importantes — Sujetos principalmente a supervisión reactiva activada por incidentes o evidencias de incumplimiento.

La clasificación se determina por sector y tamaño, pero no es autoevaluada. Bulgaria mantiene un modelo de designación administrativa: el Consejo de Ministros debe adoptar una metodología en un plazo de seis meses desde la entrada en vigor de la ley, tras lo cual las autoridades nacionales competentes disponen de cinco meses adicionales para identificar y designar formalmente a las entidades y notificar al Ministro de e-Government para su inclusión en el registro nacional. No obstante, las entidades deben evaluar su ámbito de forma independiente y cumplir desde el momento en que se cumplan los criterios legales — la ausencia de designación formal no aplaza las obligaciones.

El marco de Bulgaria refleja la estructura de dos niveles de la Directiva.

6. Requisitos de gestión de riesgos de ciberseguridad en Bulgaria

El régimen nacional de Bulgaria se alinea con las obligaciones base de la Directiva. Las entidades dentro del ámbito deben implantar medidas técnicas y organizativas proporcionadas que aborden:

• Análisis de riesgos y seguridad del sistema
• Prevención, detección y gestión de incidentes
• Continuidad de negocio y recuperación ante desastres
• Gestión del riesgo de la cadena de suministro NIS2 en Bulgaria
• Adquisición y mantenimiento seguros de sistemas TIC
• Controles de control de acceso y autenticación
• Salvaguardias de cifrado y criptografía
• Gestión y divulgación de vulnerabilidades
• Formación en ciberseguridad para el personal

Las medidas deben ser proporcionales a la exposición al riesgo y alinearse con el estado de la técnica. Se fomenta la alineación con ISO/IEC 27001 y la guía de ciberseguridad reconocida en Bulgaria.

7. Responsabilidad de la dirección y gobernanza en Bulgaria

Los órganos de administración deben aprobar las medidas de gestión de riesgos de ciberseguridad y supervisar su aplicación.

Bajo el marco nacional de Bulgaria:

• Los consejos de administración son responsables de la supervisión del cumplimiento.
• La alta dirección debe garantizar la experiencia adecuada en ciberseguridad. La transposición de Bulgaria exige formación en ciberseguridad para la dirección a intervalos fijos de dos años — más estricta que el enfoque basado en riesgos de la Directiva.
• La aplicación administrativa puede dirigirse a fallos de gobernanza.
• La suspensión de funciones directivas puede estar disponible mediante mecanismos alineados con la Directiva.

Las expectativas de responsabilidad de la dirección bajo NIS2 en Bulgaria elevan la gobernanza de ciberseguridad a una responsabilidad a nivel ejecutivo.

8. Obligaciones de notificación de incidentes en Bulgaria

9. Autoridades supervisoras y modelo de ejecución en Bulgaria

Autoridades principales: Autoridades nacionales competentes designadas por el Consejo de Ministros, incluyendo el Ministerio de Defensa, el Ministerio del Interior y la Agencia Estatal de Seguridad Nacional, según el sector. El Ministro de e-Government mantiene el registro nacional de entidades esenciales e importantes.

Bulgaria opera un modelo de supervisión multiautoridad, con autoridades nacionales competentes que ejercen la supervisión sectorial primaria y el Ministro de e-Government que mantiene el registro nacional de entidades.

Supervisory powers include:

• Solicitudes de documentación e información
• Auditorías de seguridad
• Inspecciones in situ
• Instrucciones vinculantes de cumplimiento
• Participación en la coordinación de ciberseguridad de la UE
• Suspensión judicial de licencias, registros, certificados o autorizaciones (entidades esenciales)
• Prohibición judicial del ejercicio de funciones directivas (entidades esenciales, infracciones graves)

El modelo de ejecución refleja los mecanismos de cooperación y supervisión a nivel de la Directiva.

10. Multas y sanciones NIS2 en Bulgaria

Bulgaria aplica sanciones administrativas alineadas con la Directiva.

La ejecución de las multas de NIS2 en Bulgaria también puede incluir:

• Órdenes de subsanación vinculantes
• Identificación pública de las entidades incumplidoras
• Suspensión de la certificación o la autorización
• Facultades de suspensión de funciones directivas

11. Seguridad de la cadena de suministro y de proveedores NIS2 en Bulgaria

Las entidades deben implantar controles de ciberseguridad de terceros, incluyendo:

• Evaluaciones de riesgo de proveedores
• Traslado contractual de requisitos de seguridad
• Supervisión continua de proveedores TIC
• Análisis del riesgo de concentración
• Mitigación de la propagación de incidentes

El marco de Bulgaria se alinea con las expectativas base de la Directiva para la supervisión de la cadena de suministro.

12. Deberes de registro y autoidentificación en Bulgaria

Entities within scope must:

• Esperar la designación formal por las autoridades nacionales competentes conforme a la metodología que el Consejo de Ministros debe adoptar en un plazo de seis meses desde el 17 de febrero de 2026. Las entidades no están obligadas a autorregistrarse a través de un portal público.
• Proporcionar datos de identificación corporativa
• Declarar la clasificación sectorial
• Mantener la información de contacto actualizada

El Consejo de Ministros debe adoptar una metodología de designación en un plazo de seis meses desde la entrada en vigor de la ley (aproximadamente hasta el 17 de agosto de 2026). Una vez adoptada, las autoridades competentes disponen de cinco meses adicionales para identificar y designar entidades y notificar al Ministro de e-Government. Determinadas categorías de proveedores de infraestructura digital deben presentar información de identificación directamente a las autoridades competentes. La legislación secundaria especificará los procedimientos del registro.

Aunque no se requiere autorregistro formal, las entidades que cumplan los criterios legales deben evaluar independientemente si están dentro del ámbito de aplicación y cumplir con todas las obligaciones aplicables desde el momento en que se cumplan dichos criterios — la designación formal no aplaza las obligaciones.

13. Interacción con el GDPR y otras leyes en Bulgaria

El Reglamento General de Protección de Datos continúa aplicándose de forma concurrente.

Las áreas de solapamiento incluyen:

• Notificación de brechas de datos personales en 72 horas
• Coordinación entre autoridades supervisoras
• Investigaciones paralelas de ciberseguridad y protección de datos
• Normas búlgaras de ciberseguridad específicas por sector

Un incidente cibernético que afecte a datos personales puede activar obligaciones de doble notificación.

14. Aplicabilidad transfronteriza

Las entidades con su principal establecimiento en Bulgaria son supervisadas por las autoridades búlgaras para operaciones transfronterizas.

Los proveedores digitales extranjeros que atiendan a clientes búlgaros pueden entrar en el ámbito dependiendo del establecimiento y la estructura del servicio.

Los requisitos de representación siguen los estándares de la Directiva para proveedores no pertenecientes a la UE.

15. Calendario de implementación en Bulgaria

• Adopción de la Directiva: 2022
• Adopción de la ley: 5 de febrero de 2026 (promulgada en la Gaceta Oficial el 13 de febrero de 2026)
• Entrada en vigor: 17 de febrero de 2026 (sin período transitorio; sanciones reducidas para infracciones antes del 1 de junio de 2026)
• Notificación a la Comisión: Dictamen motivado de la CE emitido en mayo de 2025 (antes de la promulgación); completitud de la notificación en revisión tras la adopción de febrero de 2026
• Metodología de designación: Metodología del Consejo de Ministros prevista para aproximadamente 17 de agosto de 2026 (seis meses después de la entrada en vigor); designación de entidades a completar aproximadamente cinco meses después

Bulgaria completó la transposición en febrero de 2026, aproximadamente 16 meses después del plazo de la UE. La legislación secundaria y el proceso de designación de entidades están en curso; las entidades deben realizar evaluaciones independientes del ámbito de aplicación sin esperar la notificación formal de las autoridades.

16. Aspectos clave para PYMES en Bulgaria

• Las entidades medianas en sectores regulados están automáticamente dentro del ámbito.
• Las entidades pequeñas pueden ser designadas si son críticas para la estabilidad social.
• La gobernanza a nivel de consejo es obligatoria. Bulgaria exige formación en ciberseguridad para la dirección a intervalos de dos años — planifíquela ahora.
• La notificación de incidentes sigue los plazos de 24 h / 72 h / 1 mes.
• Las multas pueden alcanzar 10 millones de euros o el 2 % de la facturación global anual.
• Se requiere gestión de riesgos de proveedores y TIC. La ley de Bulgaria introduce obligaciones adicionales de gestión de riesgos más allá de la base de la Directiva (incluyendo gestión de cambios y deberes de notificación complementarios) — evalúelas cuidadosamente si opera en múltiples jurisdicciones de la UE.
• Las evaluaciones tempranas de riesgos reducen la exposición a la aplicación.

FAQ: Guía NIS2 para PYMES en Bulgaria