NIS2 en Croatie

1. Aperçu rapide de l’applicabilité aux PME en Croatie

La NIS2 s'applique-t-elle aux PME en 1. Aperçu rapide de l’applicabilité aux PME en Croatie ?

Oui — selon le secteur et la taille.

• Applicabilité automatique aux entités de taille moyenne (≥50 employés et ≥€10 million de chiffre d'affaires ou de total de bilan) exerçant des activités dans les secteurs couverts.
• Les petites ou microentités ne sont incluses que si elles sont formellement désignées ou si elles exercent des activités dans des secteurs à haute criticité.
• S’applique aux entités établies en Croatie et, dans certains cas, aux prestataires numériques étrangers offrant des services en Croatie.

Les PME devraient évaluer si elles relèvent du régime national de cybersécurité de la Croatie en fonction du secteur et des seuils de taille.

2. Aperçu de la mise en œuvre de NIS2 en Croatie

La Croatie a transposé la NIS2 par la Loi sur la cybersécurité (Zakon o kibernetičkoj sigurnosti, NN 14/2024), adoptée le 26 janvier 2024 et en vigueur depuis le 15 février 2024 — faisant de la Croatie l'un des premiers États membres de l'UE à achever la transposition. La loi abroge la législation NIS1 de 2018 et élargit le nombre d'entités réglementées d'environ 1 000 à quelque 8 000–10 000.

Un Règlement sur la cybersécurité (Uredba o kibernetičkoj sigurnosti, NN 135/2024) complet a été adopté le 22 novembre 2024 et est entré en vigueur le 30 novembre 2024, précisant les exigences techniques, les procédures de catégorisation et les délais de conformité en détail.

La mise en œuvre de la Croatie va au-delà de la base de la Directive à plusieurs égards : le secteur de l'éducation a été ajouté au champ d'application, les entités importantes doivent effectuer des autoévaluations au moins tous les deux ans, et le Règlement prescrit des normes techniques spécifiques (y compris des longueurs minimales de mot de passe et des exigences MFA) qui dépassent le Règlement d'exécution 2024/2690 de l'UE. L'alignement sur les normes ISO/IEC 27001 et NIST est référencé dans le catalogue de contrôles du Règlement.

3. Champ d’application en Croatie

Le périmètre de la Croatie reflète les catégories minimales de la directive sans expansion structurelle confirmée.

4. Seuils de taille et applicabilité aux PME en Croatie

Les seuils de base s'appliquent :

• ≥50 employés, et
• ≥€10 million de chiffre d'affaires annuel ou de total de bilan.

Les entités remplissant les deux critères au sein des secteurs couverts sont automatiquement dans le périmètre.

Les petites et micro-entreprises peuvent être désignées si elles sont considérées comme critiques pour la sécurité publique, la stabilité économique ou le fonctionnement de la société.

Les autorités croates conservent des pouvoirs formels de désignation lorsque l’exposition au risque justifie l’inclusion.

5. Cadre de classification des entités en Croatie

Les entités sont classées comme suit :

• Entités essentielles — Soumises à une supervision proactive, y compris des inspections et un suivi structuré de la conformité.
• Entités Importantes — Soumises principalement à une supervision réactive. Notamment, la Croatie exige des entités importantes qu'elles réalisent une autoévaluation et soumettent une déclaration de conformité au moins tous les deux ans — une exigence nationale au-delà de la base de la Directive.

La classification est déterminée par les autorités compétentes en fonction du secteur et de la taille. Les entités sont formellement notifiées de leur catégorisation — les obligations sont déclenchées à compter de la date de notification, après quoi les entités disposent de 12 mois pour atteindre la conformité complète. Le gouvernement devait établir la liste initiale des entités catégorisées avant le 15 février 2025.

La Croatie suit le modèle de supervision à deux niveaux de la directive.

6. Exigences de gestion des risques de cybersécurité en Croatie

Le régime national croate s’aligne sur les obligations de base de la directive. Les entités concernées doivent mettre en œuvre des mesures techniques et organisationnelles proportionnées couvrant :

• Analyse des risques et protection des systèmes
• Détection et réponse aux incidents
• Continuité d’activité et gestion de crise
• Contrôles des risques de chaîne d’approvisionnement NIS2 en Croatie
• Acquisition et développement sécurisés des systèmes TIC
• Mesures de contrôle d’accès et d’authentification
• Chiffrement et protection cryptographique
• Procédures de gestion des vulnérabilités
• Formation cybersécurité du personnel

Les mesures doivent refléter l’état de l’art et le profil de risque de l’entité. L’alignement sur ISO/IEC 27001 et les orientations croates reconnues en cybersécurité est encouragé.

La gestion des risques de la chaîne d’approvisionnement inclut la diligence raisonnable des prestataires et des exigences contractuelles en matière de cybersécurité.

7. Responsabilité de la direction et gouvernance en Croatie

Les organes de direction doivent approuver formellement les mesures de gestion des risques de cybersécurité et en superviser la mise en œuvre.

Dans le cadre croate :

• Les conseils d’administration sont responsables d’assurer la conformité.
• La haute direction doit maintenir une sensibilisation adéquate à la cybersécurité.
• Des sanctions administratives peuvent viser des défaillances de gouvernance.
• La suspension temporaire des fonctions managériales peut être disponible au titre de mécanismes d’exécution alignés sur la directive.

Les standards de responsabilité de la direction NIS2 en Croatie élèvent la cybersécurité au rang de responsabilité de niveau exécutif.

8. Obligations de notification d’incident en Croatie

9. Autorités de surveillance et modèle d’exécution en Croatie

Autorité de supervision principale : Agence de sécurité et de renseignement (SOA), agissant par l'intermédiaire du Centre national de cybersécurité (NCSC-HR). CERT.hr (CARNET) opère le signalement centralisé des incidents via la plateforme PiXi.

La Croatie opère un modèle de supervision mixte : SOA/NCSC-HR dirige pour la plupart des secteurs, tandis que les autorités sectorielles autonomes (Banque nationale de Croatie (HNB) pour la banque, Agence de supervision des services financiers (HANFA) pour les services financiers, Agence croate de l'aviation civile (HACZ) pour l'aviation civile) conservent des rôles de supervision indépendants. L'Office de sécurité des systèmes d'information (ZSIS) soutient les processus de certification en cybersécurité.

Supervisory powers include:

• Demandes d’informations
• Audits de sécurité
• Inspections sur site
• Instructions de conformité contraignantes
• Participation aux cadres de coopération en cybersécurité de l’UE

La structure d’exécution s’aligne sur les exigences de coordination prévues par la directive.

10. Sanctions et amendes NIS2 en Croatie

La Croatie applique des sanctions administratives alignées sur la directive.

L’application des amendes NIS2 en Croatie peut également inclure :

• Ordres de remédiation contraignants
• Identification publique des entités non conformes
• Suspension de certifications ou d’autorisations
• Pouvoirs de suspension des fonctions managériales

La responsabilité pénale ne s’applique que lorsqu’elle est expressément prévue par la législation croate.

11. Sécurité de la chaîne d’approvisionnement et des fournisseurs NIS2 en Croatie

Les entités doivent gérer l’exposition au risque de cybersécurité lié aux tiers au moyen de :

• Évaluations des risques des prestataires
• Dispositions contractuelles de sécurité applicables aux sous-traitants
• Surveillance continue des fournisseurs TIC
• Analyse du risque de concentration
• Contrôles de propagation des incidents

L’approche de la Croatie s’aligne sur les attentes de base de la directive en matière de chaîne d’approvisionnement, sans extension nationale confirmée.

12. Obligations d’enregistrement et d’auto-identification en Croatie

Entities within scope must:

• Attendre la notification formelle des autorités compétentes concernant la catégorisation comme essentielle ou importante. Les autorités compétentes devaient achever la catégorisation initiale vers février–avril 2025.
• Fournir les données d'identification de l'entreprise
• Divulguer la classification sectorielle
• Maintenir des contacts à jour pour le signalement des incidents

La Croatie utilise un modèle de notification mené par les autorités. Les entités ne s'auto-enregistrent pas ; elles sont formellement notifiées par les autorités compétentes de leur catégorisation. La première catégorisation devait être achevée vers février–avril 2025. Une fois notifiées, les entités disposent de 12 mois pour atteindre la conformité complète.

La préparation proactive est fortement recommandée même avant la notification formelle. Les entités remplissant les critères légaux doivent initier les efforts de conformité immédiatement pour éviter les retards.

13. Interaction avec le GDPR et autres lois en Croatie

Le GDPR continue de s’appliquer parallèlement.

Les considérations de chevauchement incluent :

• Obligations de notification de violation de données personnelles sous 72 heures
• Coordination des autorités de contrôle
• Enquêtes parallèles en cybersécurité et en protection des données
• Règles croates sectorielles en matière de cybersécurité

Un incident unique peut déclencher une double notification au titre des deux régimes.

14. Applicabilité transfrontalière

Les entités dont l’établissement principal est en Croatie sont supervisées par les autorités croates pour les services transfrontaliers.

Les prestataires numériques étrangers offrant des services en Croatie peuvent être soumis à la supervision croate selon la structure d’établissement.

Les exigences de représentation suivent les standards de la directive pour les prestataires non européens desservant les marchés croates.

15. Calendrier de mise en œuvre en Croatie

• Adoption de la Directive : 2022
• Directive adoptée : 14 décembre 2022
• Loi sur la cybersécurité (NN 14/2024) : Adoptée le 26 janvier 2024 ; en vigueur depuis le 15 février 2024. Règlement sur la cybersécurité (NN 135/2024) : Adopté le 22 novembre 2024 ; en vigueur depuis le 30 novembre 2024
• Notification à la Commission : La Croatie a notifié la Commission de la transposition ; aucun avis motivé émis
• Conformité : Catégorisation initiale avant le 15 février 2025 ; les entités disposent de 12 mois à compter de la date de notification pour la conformité complète ; les entités importantes doivent réaliser des autoévaluations tous les deux ans

La Croatie est l'un des premiers États membres de l'UE à avoir achevé la transposition de NIS2, avec la loi principale en vigueur depuis février 2024 et un Règlement détaillé depuis novembre 2024. La supervision et l'application actives sont en cours.

16. Points clés pour les PME en Croatie

• Les entités de taille moyenne dans les secteurs couverts sont automatiquement dans le périmètre.
• Les petites entités peuvent être désignées si elles sont critiques pour la stabilité publique ou économique.
• La supervision au niveau du conseil est obligatoire. Les entités importantes doivent également réaliser une autoévaluation et soumettre une déclaration de conformité au moins tous les deux ans en vertu du Règlement de cybersécurité de la Croatie — une exigence au-delà de la base de la Directive.
• La notification des incidents suit les délais 24h / 72h / 1 mois.
• Les sanctions financières peuvent atteindre €10 million ou 2% du chiffre d’affaires mondial.
• La gestion des risques fournisseurs est obligatoire. Le Règlement de cybersécurité de la Croatie prescrit des contrôles techniques détaillés (y compris des longueurs minimales de mot de passe spécifiques et des exigences MFA) qui vont au-delà du Règlement d'exécution de l'UE — les entités doivent les examiner attentivement.
• Une préparation précoce à la conformité réduit le risque d’exécution.

FAQ : Guide NIS2 Croatie pour les PME