NIS2 en Bulgarie

1. Aperçu rapide de l’applicabilité aux PME en Bulgarie

La NIS2 s'applique-t-elle aux PME en 1. Aperçu rapide de l’applicabilité aux PME en Bulgarie ?

Oui — selon le secteur et la taille.

• Applicabilité automatique aux entités de taille moyenne (≥50 employés et ≥€10 million de chiffre d'affaires ou de total de bilan) exerçant des activités dans les secteurs couverts.
• Les petites ou microentités ne sont incluses que si elles sont formellement désignées ou si elles exercent des activités dans des secteurs à haute criticité.
• S’applique aux entités établies en Bulgarie et, dans certains cas, aux prestataires numériques étrangers desservant le marché bulgare.

Les PME opérant dans des secteurs réglementés devraient réaliser tôt des évaluations de périmètre au titre du régime national de cybersécurité de la Bulgarie.

2. Aperçu de la mise en œuvre de NIS2 en Bulgarie

La Bulgarie a transposé la NIS2 par la Loi modifiant et complétant la Loi sur la cybersécurité, adoptée par le Parlement le 5 février 2026, promulguée au Journal officiel le 13 février 2026 et entrée en vigueur le 17 février 2026 — environ 16 mois après l'échéance européenne du 17 octobre 2024.

La Loi sur la cybersécurité modifiée s'aligne sur la Directive (UE) 2022/2555 et élargit considérablement le champ des entités réglementées, introduit la classification des entités essentielles/importantes et modernise les règles de gouvernance, les structures de notification d'incidents, les pouvoirs de supervision et les mécanismes de sanction.

La transposition bulgare comporte deux écarts nationaux notables par rapport à la Directive : la loi maintient un modèle de désignation administrative (les entités ne s'auto-enregistrent pas ; les autorités compétentes les désignent selon une méthodologie que le Conseil des ministres doit adopter dans les six mois suivant l'entrée en vigueur), et elle impose une formation obligatoire en cybersécurité pour la direction à intervalles fixes de deux ans, plus stricte que l'approche fondée sur les risques de la Directive. Les obligations fondamentales s'appliquent immédiatement, avec des sanctions réduites pour les infractions commises avant le 1er juin 2026.

3. Champ d’application en Bulgarie

Le périmètre de la Bulgarie reflète les catégories sectorielles minimales de la directive sans extension nationale confirmée.

4. Seuils de taille et applicabilité aux PME en Bulgarie

Les seuils de base s'appliquent :

• ≥50 employés, et
• ≥€10 million de chiffre d'affaires annuel ou de total de bilan.

Les entités remplissant les deux critères au sein des secteurs couverts entrent automatiquement dans le champ d’application.

Les petites et micro-entreprises peuvent néanmoins être désignées lorsqu’elles fournissent des services essentiels à la stabilité sociétale ou économique.

Les autorités bulgares conservent des pouvoirs formels de désignation lorsque le risque systémique ou des considérations de sécurité nationale justifient l’inclusion.

5. Cadre de classification des entités en Bulgarie

Les entités sont classées comme suit :

• Entités essentielles — Soumises à une supervision proactive et à un suivi périodique de conformité.
• Entités importantes — Principalement soumises à une supervision réactive déclenchée par des incidents ou des indices de non-conformité.

La classification est déterminée par le secteur et la taille, mais n'est pas auto-évaluée. La Bulgarie maintient un modèle de désignation administrative : le Conseil des ministres doit adopter une méthodologie dans les six mois suivant l'entrée en vigueur de la loi, après quoi les autorités nationales compétentes disposent de cinq mois supplémentaires pour identifier et désigner formellement les entités et notifier le Ministre de l'e-Government pour leur inscription au registre national. Les entités doivent néanmoins évaluer leur champ d'application de manière indépendante et se conformer dès que les critères légaux sont remplis — l'absence de désignation formelle ne reporte pas les obligations.

Le cadre de la Bulgarie reflète la structure à deux niveaux de la directive.

6. Exigences de gestion des risques de cybersécurité en Bulgarie

Le régime national bulgare s’aligne sur les obligations de base de la directive. Les entités concernées doivent mettre en œuvre des mesures techniques et organisationnelles proportionnées couvrant :

• Analyse des risques et sécurité des systèmes
• Prévention, détection et traitement des incidents
• Continuité d’activité et reprise après sinistre
• Gestion des risques de chaîne d’approvisionnement NIS2 en Bulgarie
• Acquisition et maintenance sécurisées des systèmes TIC
• Contrôles de contrôle d’accès et d’authentification
• Mesures de chiffrement et de protection cryptographique
• Gestion et divulgation des vulnérabilités
• Formation cybersécurité du personnel

Les mesures doivent être proportionnées à l’exposition au risque et alignées sur l’état de l’art. L’alignement sur ISO/IEC 27001 et les orientations bulgares reconnues en cybersécurité est encouragé.

7. Responsabilité de la direction et gouvernance en Bulgarie

Les organes de direction doivent approuver les mesures de gestion des risques de cybersécurité et en superviser la mise en œuvre.

Dans le cadre national bulgare :

• Les conseils d'administration sont responsables de la supervision de la conformité.
• La direction doit assurer une expertise appropriée en cybersécurité. La transposition bulgare impose une formation en cybersécurité pour la direction à intervalles fixes de deux ans — plus stricte que l'approche fondée sur les risques de la Directive.
• L'application administrative peut cibler les défaillances de gouvernance.
• La suspension des fonctions de direction peut être disponible dans le cadre de mécanismes alignés sur la Directive.

Les attentes en matière de responsabilité de la direction NIS2 en Bulgarie élèvent la gouvernance de la cybersécurité au rang de responsabilité de niveau exécutif.

8. Obligations de notification d’incident en Bulgarie

9. Autorités de surveillance et modèle d’exécution en Bulgarie

Autorités principales : Autorités nationales compétentes désignées par le Conseil des ministres, dont le Ministère de la Défense, le Ministère de l'Intérieur et l'Agence d'État pour la sécurité nationale, selon le secteur. Le Ministre de l'e-Government tient le registre national des entités essentielles et importantes.

La Bulgarie fonctionne selon un modèle de supervision multi-autorités, les autorités nationales compétentes assurant la supervision sectorielle primaire et le Ministre de l'e-Government tenant le registre national des entités.

Supervisory powers include:

• Demandes de documentation et d'informations
• Audits de sécurité
• Inspections sur site
• Instructions contraignantes de conformité
• Participation à la coordination européenne en cybersécurité
• Suspension judiciaire de licences, enregistrements, certificats ou autorisations (entités essentielles)
• Interdiction judiciaire d'exercer des fonctions de direction (entités essentielles, infractions graves)

Le modèle d’exécution reflète les mécanismes de coopération et de supervision prévus par la directive.

10. Sanctions et amendes NIS2 en Bulgarie

La Bulgarie applique des sanctions administratives alignées sur la directive.

L’application des amendes NIS2 en Bulgarie peut également inclure :

• Injonctions correctives contraignantes
• Identification publique des entités non conformes
• Suspension de la certification ou de l'autorisation
• Pouvoirs de suspension des fonctions dirigeantes

11. Sécurité de la chaîne d’approvisionnement et des fournisseurs NIS2 en Bulgarie

Les entités doivent mettre en œuvre des contrôles de cybersécurité liés aux tiers, notamment :

• Évaluations des risques des prestataires
• Transposition contractuelle des exigences de sécurité
• Surveillance continue des fournisseurs TIC
• Analyse du risque de concentration
• Atténuation de la propagation des incidents

Le cadre bulgare s’aligne sur les attentes de base de la directive en matière de supervision de la chaîne d’approvisionnement.

12. Obligations d’enregistrement et d’auto-identification en Bulgarie

Entities within scope must:

• Attendre la désignation formelle par les autorités nationales compétentes conformément à la méthodologie que le Conseil des ministres doit adopter dans les six mois suivant le 17 février 2026. Les entités ne sont pas tenues de s'auto-enregistrer via un portail public.
• Fournir les données d'identification de l'entreprise
• Déclarer la classification sectorielle
• Maintenir les coordonnées à jour

Le Conseil des ministres doit adopter une méthodologie de désignation dans un délai de six mois suivant l'entrée en vigueur de la loi (soit environ le 17 août 2026). Une fois adoptée, les autorités compétentes disposent de cinq mois supplémentaires pour identifier et désigner les entités et notifier le Ministre de l'e-Government. Certaines catégories de fournisseurs d'infrastructures numériques doivent soumettre leurs informations d'identification directement aux autorités compétentes. La législation secondaire précisera les procédures du registre.

Bien que l'auto-enregistrement formel ne soit pas requis, les entités remplissant les critères légaux doivent évaluer de manière indépendante si elles relèvent du champ d'application et se conformer à toutes les obligations applicables dès que ces critères sont remplis — la désignation formelle ne reporte pas les obligations.

13. Interaction avec le GDPR et autres lois en Bulgarie

Le GDPR continue de s’appliquer parallèlement.

Les zones de chevauchement incluent :

• Notification de violation de données personnelles sous 72 heures
• Coordination des autorités de contrôle
• Enquêtes parallèles en cybersécurité et en protection des données
• Règles bulgares sectorielles en matière de cybersécurité

Un incident cyber affectant des données personnelles peut entraîner une double obligation de notification.

14. Applicabilité transfrontalière

Les entités dont l’établissement principal est en Bulgarie sont supervisées par les autorités bulgares pour leurs opérations transfrontalières.

Les prestataires numériques étrangers desservant des clients bulgares peuvent entrer dans le périmètre selon l’établissement et la structure de service.

Les exigences de représentation suivent les standards de la directive pour les prestataires non européens.

15. Calendrier de mise en œuvre en Bulgarie

• Adoption de la Directive : 2022
• Adoption de la loi : 5 février 2026 (promulguée au Journal officiel le 13 février 2026)
• Entrée en vigueur : 17 février 2026 (pas de période transitoire ; sanctions réduites pour les infractions avant le 1er juin 2026)
• Notification à la Commission : Avis motivé de la CE émis en mai 2025 (avant promulgation) ; exhaustivité de la notification en cours d'examen après l'adoption de février 2026
• Méthodologie de désignation : Méthodologie du Conseil des ministres prévue pour environ le 17 août 2026 (six mois après l'entrée en vigueur) ; désignation des entités à compléter environ cinq mois après

La Bulgarie a achevé la transposition en février 2026, environ 16 mois après l'échéance européenne. La législation secondaire et le processus de désignation des entités sont en cours ; les entités doivent effectuer des évaluations indépendantes du champ d'application sans attendre la notification formelle des autorités.

16. Points clés pour les PME en Bulgarie

• Les entités de taille moyenne dans les secteurs réglementés sont automatiquement dans le champ d'application.
• Les petites entités peuvent être désignées si elles sont critiques pour la stabilité sociétale.
• La gouvernance au niveau du conseil est obligatoire. La Bulgarie impose une formation en cybersécurité pour la direction à intervalles de deux ans — planifiez-la dès maintenant.
• La notification d'incidents suit les délais de 24 h / 72 h / 1 mois.
• Les amendes peuvent atteindre 10 millions d'euros ou 2 % du chiffre d'affaires mondial annuel.
• La gestion des risques fournisseurs et TIC est requise. La loi bulgare introduit des obligations supplémentaires de gestion des risques au-delà du socle de la Directive (notamment la gestion des changements et des obligations de notification complémentaires) — évaluez-les soigneusement si vous opérez dans plusieurs juridictions de l'UE.
• Les évaluations précoces des risques réduisent l'exposition aux mesures d'application.

FAQ : Guide NIS2 Bulgarie pour les PME