NIS2 in Bulgaria

1. Rapida panoramica di applicabilità per le PMI in Bulgaria

NIS2 si applica alle PMI in Bulgaria?

Sì — a seconda del settore e delle dimensioni.

• Applicabilità automatica alle entità di medie dimensioni (≥50 dipendenti e ≥€10 million di fatturato o totale di bilancio) operanti nei settori coperti.
• Le entità piccole o micro sono incluse solo se formalmente designate o se operano in settori ad alta criticità.
• Si applica alle entità stabilite in Bulgaria e, in alcuni casi, ai fornitori digitali stranieri che servono il mercato bulgaro.

Le PMI che operano nei settori regolamentati dovrebbero effettuare valutazioni di ambito precoci nell'ambito del regime nazionale di cybersicurezza della Bulgaria.

2. Panoramica dell'attuazione della NIS2 in Bulgaria

La Bulgaria ha recepito la NIS2 attraverso la Legge di modifica e integrazione della Legge sulla cybersicurezza, adottata dal Parlamento il 5 febbraio 2026, promulgata nella Gazzetta Ufficiale il 13 febbraio 2026 ed entrata in vigore il 17 febbraio 2026 — circa 16 mesi dopo la scadenza UE del 17 ottobre 2024.

La Legge sulla cybersicurezza modificata si allinea alla Direttiva (UE) 2022/2555 e amplia significativamente l'ambito delle entità regolamentate, introduce la classificazione delle entità essenziali/importanti e modernizza le regole di governance, le strutture di segnalazione degli incidenti, i poteri di supervisione e i meccanismi sanzionatori.

Il recepimento della Bulgaria include due deviazioni nazionali rilevanti rispetto alla Direttiva: la legge mantiene un modello di designazione amministrativa (le entità non si autoregistrano; le autorità competenti le designano secondo una metodologia che il Consiglio dei Ministri deve adottare entro sei mesi dall'entrata in vigore), e impone una formazione obbligatoria in cybersicurezza per il management a intervalli fissi di due anni, più rigorosa dell'approccio basato sul rischio della Direttiva. Gli obblighi fondamentali si applicano immediatamente, con sanzioni ridotte per le violazioni commesse prima del 1° giugno 2026.

3. Campo di applicazione in Bulgaria

L'ambito della Bulgaria rispecchia le categorie settoriali minime della Direttiva senza espansione nazionale confermata.

4. Soglie dimensionali e applicabilità alle PMI in Bulgaria

Si applicano le soglie di base:

• ≥50 dipendenti, e
• ≥€10 million fatturato annuo o totale di bilancio.

Le entità che soddisfano entrambi i criteri nei settori coperti rientrano automaticamente nell'ambito di applicazione.

Le imprese piccole e micro possono comunque essere designate quando forniscono servizi essenziali per la stabilità sociale o economica.

Le autorità bulgare mantengono poteri formali di designazione quando il rischio sistemico o considerazioni di sicurezza nazionale giustificano l'inclusione.

5. Quadro di classificazione delle entità in Bulgaria

Le entità sono classificate come:

• Entità essenziali — Soggette a supervisione proattiva e monitoraggio periodico della conformità.
• Entità importanti — Principalmente soggette a supervisione reattiva attivata da incidenti o evidenze di non conformità.

La classificazione è determinata dal settore e dalla dimensione, ma non è autovalutata. La Bulgaria mantiene un modello di designazione amministrativa: il Consiglio dei Ministri deve adottare una metodologia entro sei mesi dall'entrata in vigore della legge, dopo di che le autorità nazionali competenti hanno ulteriori cinque mesi per identificare e designare formalmente le entità e notificare il Ministro dell'e-Government per l'inclusione nel registro nazionale. Le entità dovrebbero comunque valutare il proprio ambito in modo indipendente e conformarsi dal momento in cui i criteri legali sono soddisfatti — l'assenza di designazione formale non differisce gli obblighi.

Il quadro della Bulgaria riflette la struttura a due livelli della Direttiva.

6. Requisiti di gestione del rischio di cybersicurezza in Bulgaria

Il regime nazionale della Bulgaria è allineato agli obblighi di base della Direttiva. Le entità nell'ambito devono implementare misure tecniche e organizzative proporzionate che affrontino:

• Analisi del rischio e sicurezza dei sistemi
• Prevenzione, rilevamento e gestione degli incidenti
• Continuità operativa e ripristino in caso di disastro
• Gestione del rischio della catena di fornitura NIS2 in Bulgaria
• Acquisizione e manutenzione sicure dei sistemi ICT
• Controllo degli accessi e meccanismi di autenticazione
• Salvaguardie di cifratura e crittografia
• Gestione e divulgazione delle vulnerabilità
• Formazione in cybersicurezza per il personale

Le misure devono essere proporzionate all'esposizione al rischio e allineate allo stato dell'arte. È incoraggiato l'allineamento con ISO/IEC 27001 e con le linee guida bulgare riconosciute in materia di cybersicurezza.

7. Responsabilità del management e governance in Bulgaria

Gli organi di amministrazione devono approvare le misure di gestione del rischio di cibersicurezza e supervisionarne l'attuazione.

Nel quadro nazionale della Bulgaria:

• I consigli di amministrazione sono responsabili della supervisione della conformità.
• La dirigenza deve garantire competenze adeguate in cybersicurezza. Il recepimento della Bulgaria impone una formazione in cybersicurezza per il management a intervalli fissi di due anni — più rigorosa dell'approccio basato sul rischio della Direttiva.
• L'applicazione amministrativa può colpire le carenze di governance.
• La sospensione delle funzioni dirigenziali può essere disponibile tramite meccanismi allineati alla Direttiva.

Le aspettative di responsabilità del management NIS2 in Bulgaria elevano la governance della cybersicurezza a una responsabilità a livello esecutivo.

8. Obblighi di segnalazione degli incidenti in Bulgaria

9. Autorità di vigilanza e modello di applicazione in Bulgaria

Autorità principali: Autorità nazionali competenti designate dal Consiglio dei Ministri, tra cui il Ministero della Difesa, il Ministero dell'Interno e l'Agenzia di Stato per la sicurezza nazionale, a seconda del settore. Il Ministro dell'e-Government gestisce il registro nazionale delle entità essenziali e importanti.

La Bulgaria opera un modello di supervisione multi-autorità, con le autorità nazionali competenti che svolgono la supervisione settoriale primaria e il Ministro dell'e-Government che gestisce il registro nazionale delle entità.

Supervisory powers include:

• Richieste di documentazione e informazioni
• Audit di sicurezza
• Ispezioni in loco
• Istruzioni vincolanti di conformità
• Partecipazione al coordinamento UE in materia di cybersicurezza
• Sospensione giudiziaria di licenze, registrazioni, certificati o autorizzazioni (entità essenziali)
• Divieto giudiziario di esercitare funzioni dirigenziali (entità essenziali, violazioni gravi)

Il modello di applicazione riflette i meccanismi di cooperazione e vigilanza a livello di Direttiva.

10. Sanzioni e ammende NIS2 in Bulgaria

La Bulgaria applica sanzioni amministrative allineate alla Direttiva.

L'applicazione delle ammende NIS2 in Bulgaria può includere anche:

• Ordini vincolanti di adozione di misure correttive
• Identificazione pubblica delle entità non conformi
• Sospensione di certificazioni o autorizzazioni
• Poteri di sospensione dei dirigenti

11. Sicurezza della catena di fornitura e dei fornitori NIS2 in Bulgaria

Le entità devono implementare controlli di cybersicurezza per i terzi tra cui:

• Valutazioni del rischio dei fornitori
• Incorporazione contrattuale dei requisiti di sicurezza
• Monitoraggio continuo dei fornitori ICT
• Analisi del rischio di concentrazione
• Mitigazione della propagazione degli incidenti

Il quadro della Bulgaria è allineato alle aspettative di base della Direttiva per la vigilanza sulla catena di fornitura.

12. Obblighi di registrazione e autoidentificazione in Bulgaria

Entities within scope must:

• Attendere la designazione formale da parte delle autorità nazionali competenti secondo la metodologia che il Consiglio dei Ministri deve adottare entro sei mesi dal 17 febbraio 2026. Le entità non sono tenute ad autoregistrarsi tramite un portale pubblico.
• Fornire i dati di identificazione aziendale
• Dichiarare la classificazione settoriale
• Mantenere aggiornate le informazioni di contatto

Il Consiglio dei Ministri deve adottare una metodologia di designazione entro sei mesi dall'entrata in vigore della legge (entro circa il 17 agosto 2026). Una volta adottata, le autorità competenti hanno ulteriori cinque mesi per identificare e designare le entità e notificare il Ministro dell'e-Government. Determinate categorie di fornitori di infrastrutture digitali devono presentare le informazioni di identificazione direttamente alle autorità competenti. La legislazione secondaria specificherà ulteriormente le procedure del registro.

Sebbene l'autoregistrazione formale non sia richiesta, le entità che soddisfano i criteri legali devono valutare autonomamente se rientrano nell'ambito di applicazione e conformarsi a tutti gli obblighi applicabili dal momento in cui tali criteri sono soddisfatti — la designazione formale non differisce gli obblighi.

13. Interazione con il GDPR e altre leggi in Bulgaria

Il Regolamento generale sulla protezione dei dati continua ad applicarsi in via concorrente.

Le aree di sovrapposizione includono:

• Segnalazione delle violazioni dei dati personali entro 72 ore
• Coordinamento tra autorità di vigilanza
• Indagini parallele su cybersicurezza e protezione dei dati
• Norme bulgare specifiche di settore in materia di cybersicurezza

Un incidente informatico che incide sui dati personali può attivare obblighi di segnalazione doppi.

14. Applicabilità transfrontaliera

Le entità con la propria stabilimento principale in Bulgaria sono sorvegliate dalle autorità bulgare per le operazioni transfrontaliere.

I fornitori digitali stranieri che servono clienti bulgari possono rientrare nell'ambito a seconda dello stabilimento e della struttura del servizio.

I requisiti di rappresentanza seguono gli standard della Direttiva per i fornitori non UE.

15. Cronologia di attuazione in Bulgaria

• Adozione della Direttiva: 2022
• Adozione della legge: 5 febbraio 2026 (promulgata nella Gazzetta Ufficiale il 13 febbraio 2026)
• Entrata in vigore: 17 febbraio 2026 (nessun periodo transitorio; sanzioni ridotte per violazioni prima del 1° giugno 2026)
• Notifica alla Commissione: Parere motivato della CE emesso nel maggio 2025 (prima della promulgazione); completezza della notifica in fase di revisione dopo l'adozione di febbraio 2026
• Metodologia di designazione: Metodologia del Consiglio dei Ministri prevista entro circa il 17 agosto 2026 (sei mesi dopo l'entrata in vigore); designazione delle entità da completare circa cinque mesi dopo

La Bulgaria ha completato il recepimento nel febbraio 2026, circa 16 mesi dopo la scadenza UE. La legislazione secondaria e il processo di designazione delle entità sono in corso; le entità dovrebbero condurre valutazioni indipendenti dell'ambito di applicazione senza attendere la notifica formale delle autorità.

16. Punti chiave per le PMI in Bulgaria

• Le entità di medie dimensioni nei settori regolamentati rientrano automaticamente nell'ambito.
• Le piccole entità possono essere designate se critiche per la stabilità sociale.
• La governance a livello di consiglio è obbligatoria. La Bulgaria impone una formazione in cybersicurezza per il management a intervalli di due anni — pianificatela ora.
• La segnalazione degli incidenti segue le scadenze di 24 h / 72 h / 1 mese.
• Le sanzioni possono raggiungere 10 milioni di euro o il 2% del fatturato globale annuo.
• È richiesta la gestione dei rischi di fornitori e ICT. La legge bulgara introduce obblighi aggiuntivi di gestione dei rischi oltre la base della Direttiva (inclusa la gestione dei cambiamenti e obblighi di notifica supplementari) — valutateli attentamente se operate in più giurisdizioni UE.
• Le valutazioni precoci dei rischi riducono l'esposizione all'applicazione.

FAQ: Guida NIS2 per PMI in Bulgaria