NIS2 en Bulgarie

1. Aperçu rapide de l’applicabilité aux PME en Bulgarie

La NIS2 s'applique-t-elle aux PME en 1. Aperçu rapide de l’applicabilité aux PME en Bulgarie ?

Oui — selon le secteur et la taille.

• Applicabilité automatique aux entités de taille moyenne (≥50 employés et ≥€10 million de chiffre d'affaires ou de total de bilan) exerçant des activités dans les secteurs couverts.
• Les petites ou microentités ne sont incluses que si elles sont formellement désignées ou si elles exercent des activités dans des secteurs à haute criticité.
• S’applique aux entités établies en Bulgarie et, dans certains cas, aux prestataires numériques étrangers desservant le marché bulgare.

Les PME opérant dans des secteurs réglementés devraient réaliser tôt des évaluations de périmètre au titre du régime national de cybersécurité de la Bulgarie.

2. Aperçu de la mise en œuvre de NIS2 en Bulgarie

La Bulgarie met en œuvre NIS2 par des amendements au Cybersecurity Act, qui constitue la loi nationale de base régissant la sécurité des réseaux et des systèmes d’information.

Le cadre législatif mis à jour s’aligne sur la directive (UE) 2022/2555 et étend les obligations existantes de la Bulgarie en matière de cybersécurité afin de refléter les exigences renforcées de l’UE.

Le texte révisé modernise les règles de gouvernance, les structures de notification des incidents, les pouvoirs des autorités de supervision et les mécanismes de sanction.

3. Champ d’application en Bulgarie

Le périmètre de la Bulgarie reflète les catégories sectorielles minimales de la directive sans extension nationale confirmée.

4. Seuils de taille et applicabilité aux PME en Bulgarie

Les seuils de base s'appliquent :

• ≥50 employés, et
• ≥€10 million de chiffre d'affaires annuel ou de total de bilan.

Les entités remplissant les deux critères au sein des secteurs couverts entrent automatiquement dans le champ d’application.

Les petites et micro-entreprises peuvent néanmoins être désignées lorsqu’elles fournissent des services essentiels à la stabilité sociétale ou économique.

Les autorités bulgares conservent des pouvoirs formels de désignation lorsque le risque systémique ou des considérations de sécurité nationale justifient l’inclusion.

5. Cadre de classification des entités en Bulgarie

Les entités sont classées comme suit :

• Entités essentielles — Soumises à une supervision proactive et à un suivi périodique de conformité.
• Entités importantes — Principalement soumises à une supervision réactive déclenchée par des incidents ou des indices de non-conformité.

La classification est déterminée par le secteur et la taille. Les autorités compétentes peuvent reclasser des entités lorsque l’impact opérationnel ou l’exposition au risque justifie une surveillance renforcée.

Le cadre de la Bulgarie reflète la structure à deux niveaux de la directive.

6. Exigences de gestion des risques de cybersécurité en Bulgarie

Le régime national bulgare s’aligne sur les obligations de base de la directive. Les entités concernées doivent mettre en œuvre des mesures techniques et organisationnelles proportionnées couvrant :

• Analyse des risques et sécurité des systèmes
• Prévention, détection et traitement des incidents
• Continuité d’activité et reprise après sinistre
• Gestion des risques de chaîne d’approvisionnement NIS2 en Bulgarie
• Acquisition et maintenance sécurisées des systèmes TIC
• Contrôles de contrôle d’accès et d’authentification
• Mesures de chiffrement et de protection cryptographique
• Gestion et divulgation des vulnérabilités
• Formation cybersécurité du personnel

Les mesures doivent être proportionnées à l’exposition au risque et alignées sur l’état de l’art. L’alignement sur ISO/IEC 27001 et les orientations bulgares reconnues en cybersécurité est encouragé.

7. Responsabilité de la direction et gouvernance en Bulgarie

Les organes de direction doivent approuver les mesures de gestion des risques de cybersécurité et en superviser la mise en œuvre.

Dans le cadre national bulgare :

• Les conseils d’administration sont responsables de la supervision de la conformité.
• La haute direction doit veiller à une expertise cybersécurité appropriée.
• L’exécution administrative peut viser des défaillances de gouvernance.
• La suspension des fonctions managériales peut être disponible au titre de mécanismes alignés sur la directive.

Les attentes en matière de responsabilité de la direction NIS2 en Bulgarie élèvent la gouvernance de la cybersécurité au rang de responsabilité de niveau exécutif.

8. Obligations de notification d’incident en Bulgarie

9. Autorités de surveillance et modèle d’exécution en Bulgarie

Autorité principale : State e-Government Agency (SEGA).

La Bulgarie opère un modèle de supervision centralisé, soutenu par des régulateurs sectoriels lorsque nécessaire.

Supervisory powers include:

• Demandes de documentation et d’informations
• Audits de sécurité
• Inspections sur site
• Instructions de conformité contraignantes
• Participation à la coordination de cybersécurité de l’UE

Le modèle d’exécution reflète les mécanismes de coopération et de supervision prévus par la directive.

10. Sanctions et amendes NIS2 en Bulgarie

La Bulgarie applique des sanctions administratives alignées sur la directive.

L’application des amendes NIS2 en Bulgarie peut également inclure :

• Injonctions correctives contraignantes
• Identification publique des entités non conformes
• Suspension de la certification ou de l'autorisation
• Pouvoirs de suspension des fonctions dirigeantes

11. Sécurité de la chaîne d’approvisionnement et des fournisseurs NIS2 en Bulgarie

Les entités doivent mettre en œuvre des contrôles de cybersécurité liés aux tiers, notamment :

• Évaluations des risques des prestataires
• Transposition contractuelle des exigences de sécurité
• Surveillance continue des fournisseurs TIC
• Analyse du risque de concentration
• Atténuation de la propagation des incidents

Le cadre bulgare s’aligne sur les attentes de base de la directive en matière de supervision de la chaîne d’approvisionnement.

12. Obligations d’enregistrement et d’auto-identification en Bulgarie

Entities within scope must:

• S'enregistrer auprès des autorités compétentes
• Fournir les informations d'identification de l'entité
• Déclarer la classification sectorielle
• Maintenir à jour les coordonnées

Les délais procéduraux suivent le cadre d’exécution de la Bulgarie. À l’état actuel de la transposition, la Bulgarie suit le cadre de base de la directive NIS2. Les détails nationaux d’exécution peuvent affiner certaines obligations.

L’auto-identification est requise pour les entités atteignant les seuils légaux.

13. Interaction avec le GDPR et autres lois en Bulgarie

Le GDPR continue de s’appliquer parallèlement.

Les zones de chevauchement incluent :

• Notification de violation de données personnelles sous 72 heures
• Coordination des autorités de contrôle
• Enquêtes parallèles en cybersécurité et en protection des données
• Règles bulgares sectorielles en matière de cybersécurité

Un incident cyber affectant des données personnelles peut entraîner une double obligation de notification.

14. Applicabilité transfrontalière

Les entités dont l’établissement principal est en Bulgarie sont supervisées par les autorités bulgares pour leurs opérations transfrontalières.

Les prestataires numériques étrangers desservant des clients bulgares peuvent entrer dans le périmètre selon l’établissement et la structure de service.

Les exigences de représentation suivent les standards de la directive pour les prestataires non européens.

15. Calendrier de mise en œuvre en Bulgarie

• Adoption de la Directive : 2022
• Amendements législatifs nationaux : 2024–2025
• Entrée en vigueur : À la publication nationale
• Notification à la Commission : Conformément à la procédure de l’UE
• Jalon de conformité : Échéances alignées sur la directive

Le processus législatif de la Bulgarie s’aligne sur le calendrier de transposition de l’UE, sous réserve des étapes de notification formelle.

16. Points clés pour les PME en Bulgarie

• Les entités de taille moyenne dans les secteurs couverts sont automatiquement dans le périmètre.
• Les petites entités peuvent être désignées si elles sont critiques pour la stabilité sociétale.
• La gouvernance au niveau du conseil est obligatoire.
• La notification des incidents suit les délais 24h / 72h / 1 mois.
• Les sanctions financières peuvent atteindre €10 million ou 2% du chiffre d’affaires mondial.
• La gestion des risques fournisseurs et TIC est requise.
• Des évaluations précoces des risques réduisent l’exposition à l’exécution.

FAQ : Guide NIS2 Bulgarie pour les PME