NIS2 in Bulgaria

Guida all'implementazione e alla conformità NIS2 in Bulgaria.

Questo documento presenta informazioni aggiornate a febbraio 2026. Benché siano stati adottati tutti i ragionevoli accorgimenti per verificare l'accuratezza dei contenuti, le informazioni sono fornite senza garanzia di completezza o accuratezza e possono essere soggette a modifiche. Pur prevedendo aggiornamenti periodici di questi contenuti, si consiglia ai lettori di verificare autonomamente le informazioni critiche.

La Bulgaria sta trasponendo la Direttiva NIS2 nel proprio quadro nazionale di cybersicurezza, ampliando gli obblighi per le entità operanti nei settori critici e importanti. Questa guida fornisce una panoramica strutturata di ambito, governance, segnalazione, applicazione e aspettative di conformità nell'ambito del regime nazionale bulgaro, su misura per i decisori delle PMI che valutano i requisiti di conformità NIS2 in Bulgaria.

1. Rapida panoramica di applicabilità per le PMI in Bulgaria

NIS2 si applica alle PMI in Bulgaria?

Sì — a seconda del settore e delle dimensioni.

Applicabilità automatica alle entità di medie dimensioni (≥50 dipendenti e ≥€10 million di fatturato o totale di bilancio) operanti nei settori coperti.
Le entità piccole o micro sono incluse solo se formalmente designate o se operano in settori ad alta criticità.
Si applica alle entità stabilite in Bulgaria e, in alcuni casi, ai fornitori digitali stranieri che servono il mercato bulgaro.

Le PMI che operano nei settori regolamentati dovrebbero effettuare valutazioni di ambito precoci nell'ambito del regime nazionale di cybersicurezza della Bulgaria.

2. Panoramica dell'attuazione della NIS2 in Bulgaria

La Bulgaria sta attuando la NIS2 tramite modifiche al Cybersecurity Act, che costituisce lo statuto nazionale principale che disciplina la sicurezza dei sistemi di rete e informazione.

Il quadro legislativo aggiornato è allineato alla Direttiva (UE) 2022/2555 ed espande gli obblighi di cybersicurezza esistenti in Bulgaria per riflettere i requisiti rafforzati dell'UE.

Lo statuto riveduto modernizza le regole di governance, le strutture di segnalazione degli incidenti, i poteri dell'autorità di vigilanza e i meccanismi sanzionatori.

3. Campo di applicazione in Bulgaria

Entità essenziali

Entità operanti in settori altamente critici:

Entità importanti

Entità operanti negli altri settori elencati:

L'ambito della Bulgaria rispecchia le categorie settoriali minime della Direttiva senza espansione nazionale confermata.

4. Soglie dimensionali e applicabilità alle PMI in Bulgaria

Si applicano le soglie di base:

≥50 dipendenti, e
≥€10 million fatturato annuo o totale di bilancio.

Le entità che soddisfano entrambi i criteri nei settori coperti rientrano automaticamente nell'ambito di applicazione.

Le imprese piccole e micro possono comunque essere designate quando forniscono servizi essenziali per la stabilità sociale o economica.

Le autorità bulgare mantengono poteri formali di designazione quando il rischio sistemico o considerazioni di sicurezza nazionale giustificano l'inclusione.

5. Quadro di classificazione delle entità in Bulgaria

Le entità sono classificate come:

Entità essenziali — Soggette a supervisione proattiva e monitoraggio periodico della conformità.
Entità importanti — Principalmente soggette a supervisione reattiva attivata da incidenti o evidenze di non conformità.

La classificazione è determinata da settore e dimensioni. Le autorità competenti possono riclassificare le entità quando l'impatto operativo o l'esposizione al rischio giustificano una vigilanza rafforzata.

Il quadro della Bulgaria riflette la struttura a due livelli della Direttiva.

6. Requisiti di gestione del rischio di cybersicurezza in Bulgaria

Il regime nazionale della Bulgaria è allineato agli obblighi di base della Direttiva. Le entità nell'ambito devono implementare misure tecniche e organizzative proporzionate che affrontino:

Analisi del rischio e sicurezza dei sistemi
Prevenzione, rilevamento e gestione degli incidenti
Continuità operativa e ripristino in caso di disastro
Gestione del rischio della catena di fornitura NIS2 in Bulgaria
Acquisizione e manutenzione sicure dei sistemi ICT
Controllo degli accessi e meccanismi di autenticazione
Salvaguardie di cifratura e crittografia
Gestione e divulgazione delle vulnerabilità
Formazione in cybersicurezza per il personale

Le misure devono essere proporzionate all'esposizione al rischio e allineate allo stato dell'arte. È incoraggiato l'allineamento con ISO/IEC 27001 e con le linee guida bulgare riconosciute in materia di cybersicurezza.

7. Responsabilità del management e governance in Bulgaria

Gli organi di amministrazione devono approvare le misure di gestione del rischio di cibersicurezza e supervisionarne l'attuazione.

Nel quadro nazionale della Bulgaria:

I consigli sono responsabili della supervisione della conformità.
La dirigenza deve garantire un'adeguata competenza in cybersicurezza.
L'applicazione amministrativa può colpire carenze di governance.
La sospensione delle funzioni manageriali può essere disponibile nell'ambito dei meccanismi allineati alla Direttiva.

Le aspettative di responsabilità del management NIS2 in Bulgaria elevano la governance della cybersicurezza a una responsabilità a livello esecutivo.

8. Obblighi di segnalazione degli incidenti in Bulgaria

Definizione di un incidente significativo

Un incidente significativo include eventi che causano:

Grave interruzione operativa
Perdita finanziaria significativa
Impatto sociale sostanziale
Effetti transfrontalieri

Tempistiche di segnalazione

Fase di segnalazione	Scadenza	Autorità
Preallerta	24 ore	State e-Government Agency (SEGA)
Notifica dell'incidente	72 ore	State e-Government Agency (SEGA)
Relazione finale	1 mese	State e-Government Agency (SEGA)

La Bulgaria segue la struttura della Direttiva per le scadenze di segnalazione NIS2, salvo ulteriori chiarimenti mediante regolamentazione secondaria. Le autorità settoriali possono coordinarsi con SEGA ove applicabile.

9. Autorità di vigilanza e modello di applicazione in Bulgaria

Autorità principale: State e-Government Agency (SEGA).

La Bulgaria opera con un modello di vigilanza centralizzato, supportato da regolatori specifici di settore quando necessario.

Supervisory powers include:

Richieste di documentazione e informazioni
Audit di sicurezza
Ispezioni in loco
Istruzioni vincolanti di conformità
Partecipazione al coordinamento della cybersicurezza dell'UE

Il modello di applicazione riflette i meccanismi di cooperazione e vigilanza a livello di Direttiva.

10. Sanzioni e ammende NIS2 in Bulgaria

La Bulgaria applica sanzioni amministrative allineate alla Direttiva.

Entità essenziali

Fino a €10 million o 2% del fatturato annuo globale complessivo (a seconda di quale sia maggiore)

Entità importanti

Fino a €7 million o 1.4% del fatturato annuo globale complessivo (a seconda di quale sia maggiore)

L'applicazione delle ammende NIS2 in Bulgaria può includere anche:

Ordini vincolanti di adozione di misure correttive
Identificazione pubblica delle entità non conformi
Sospensione di certificazioni o autorizzazioni
Poteri di sospensione dei dirigenti

11. Sicurezza della catena di fornitura e dei fornitori NIS2 in Bulgaria

Le entità devono implementare controlli di cybersicurezza per i terzi tra cui:

Valutazioni del rischio dei fornitori
Incorporazione contrattuale dei requisiti di sicurezza
Monitoraggio continuo dei fornitori ICT
Analisi del rischio di concentrazione
Mitigazione della propagazione degli incidenti

Il quadro della Bulgaria è allineato alle aspettative di base della Direttiva per la vigilanza sulla catena di fornitura.

12. Obblighi di registrazione e autoidentificazione in Bulgaria

Entities within scope must:

Registrarsi presso le autorità competenti
Fornire i dati identificativi societari
Dichiarare la classificazione settoriale
Mantenere aggiornate le informazioni di contatto

Le scadenze procedurali seguono il quadro attuativo della Bulgaria. Allo stato attuale della trasposizione, la Bulgaria segue il quadro di base della Direttiva NIS2. I dettagli nazionali di attuazione possono affinare specifici obblighi.

È richiesta l'autoidentificazione per le entità che soddisfano le soglie di legge.

13. Interazione con il GDPR e altre leggi in Bulgaria

Il Regolamento generale sulla protezione dei dati continua ad applicarsi in via concorrente.

Le aree di sovrapposizione includono:

Segnalazione delle violazioni dei dati personali entro 72 ore
Coordinamento tra autorità di vigilanza
Indagini parallele su cybersicurezza e protezione dei dati
Norme bulgare specifiche di settore in materia di cybersicurezza

Un incidente informatico che incide sui dati personali può attivare obblighi di segnalazione doppi.

14. Applicabilità transfrontaliera

Le entità con la propria stabilimento principale in Bulgaria sono sorvegliate dalle autorità bulgare per le operazioni transfrontaliere.

I fornitori digitali stranieri che servono clienti bulgari possono rientrare nell'ambito a seconda dello stabilimento e della struttura del servizio.

I requisiti di rappresentanza seguono gli standard della Direttiva per i fornitori non UE.

15. Cronologia di attuazione in Bulgaria

Adozione della Direttiva: 2022
Modifiche legislative nazionali: 2024–2025
Entrata in vigore: Alla pubblicazione nazionale
Notifica alla Commissione: In conformità alla procedura UE
Scadenza di conformità: Scadenze allineate alla Direttiva

Il processo legislativo della Bulgaria è allineato al calendario di trasposizione dell'UE, soggetto ai passaggi formali di notifica.

16. Punti chiave per le PMI in Bulgaria

Le entità di medie dimensioni nei settori coperti rientrano automaticamente nell'ambito.
Le piccole entità possono essere designate se critiche per la stabilità sociale.
La governance a livello di consiglio è obbligatoria.
La segnalazione degli incidenti segue le scadenze 24h / 72h / 1 mese.
Le sanzioni finanziarie possono raggiungere €10 milioni o il 2% del fatturato globale.
La gestione del rischio dei fornitori e dell'ICT è richiesta.
Valutazioni del rischio anticipate riducono l'esposizione all'applicazione.

FAQ: Guida NIS2 per PMI in Bulgaria

La NIS2 si applica alle piccole imprese in Bulgaria?

Le piccole imprese sono generalmente escluse, salvo designazione o operatività in settori altamente critici. Le entità di medie dimensioni che soddisfano le soglie dimensionali sono automaticamente incluse.

Quali sono le ammende NIS2 in Bulgaria?

Le Entità Essenziali affrontano sanzioni fino a €10 milioni o al 2% del fatturato annuo globale. Le Entità Importanti fino a €7 milioni o all'1,4% del fatturato annuo globale.

Quando entra in vigore la NIS2 in Bulgaria?

La Bulgaria sta attuando modifiche al proprio Cybersecurity Act per allinearsi alla Direttiva. L'entrata in vigore segue le procedure di pubblicazione nazionale.

Chi applica la NIS2 in Bulgaria?

La State e-Government Agency (SEGA) funge da autorità di coordinamento primaria, supportata dai regolatori settoriali ove applicabile.

Gli amministratori possono essere personalmente responsabili ai sensi della NIS2 in Bulgaria?

Gli organi di gestione devono approvare e sovrintendere alle misure di cybersicurezza. L'applicazione amministrativa può includere poteri di sospensione manageriale nei casi gravi.

In che cosa la NIS2 differisce dal GDPR in Bulgaria?

La NIS2 disciplina la gestione del rischio di cybersicurezza e la resilienza operativa, mentre il GDPR regola la protezione dei dati personali. Entrambi i quadri possono applicarsi simultaneamente a seguito di un incidente informatico.

Cosa costituisce un incidente significativo ai sensi della NIS2 in Bulgaria?

Un incidente che causi grave interruzione, perdite finanziarie, impatto sociale o conseguenze transfrontaliere in genere soddisfa la soglia di segnalazione.