NIS2 en Chypre

1. Aperçu rapide de l’applicabilité aux PME à Chypre

La NIS2 s'applique-t-elle aux PME en 1. Aperçu rapide de l’applicabilité aux PME à Chypre ?

Oui — selon le secteur et la taille.

• Applicabilité automatique aux entités de taille moyenne (≥50 employés et ≥€10 million de chiffre d'affaires ou de total de bilan) exerçant des activités dans les secteurs couverts.
• Les petites ou microentités ne sont incluses que si elles sont formellement désignées ou si elles exercent des activités dans des secteurs à haute criticité.
• S’applique aux entités établies à Chypre et, dans certaines circonstances, aux prestataires numériques étrangers desservant le marché chypriote.

Les PME devraient évaluer si elles relèvent du régime national de cybersécurité de Chypre en fonction de la classification sectorielle et des seuils légaux.

2. Aperçu de la mise en œuvre de NIS2 à Chypre

Chypre met en œuvre la directive par des amendements au Security of Network and Information Systems Law, qui constitue la base juridique nationale pour la supervision de la cybersécurité.

La loi mise à jour s’aligne sur la directive (UE) 2022/2555 et modernise les obligations relatives à la gouvernance, à la notification des incidents, à la supervision et aux sanctions.

Le cadre législatif renforce les pouvoirs des autorités de supervision tout en conservant une cohérence structurelle avec la directive.

3. Champ d’application à Chypre

Le périmètre sectoriel de Chypre reflète les catégories minimales de la directive sans expansion nationale confirmée.

4. Seuils de taille et applicabilité aux PME à Chypre

Les seuils de base s'appliquent :

• ≥50 employés, et
• ≥€10 million de chiffre d'affaires annuel ou de total de bilan.

Les entités remplissant les deux critères au sein des secteurs couverts entrent automatiquement dans le périmètre.

Les petites et micro-entreprises peuvent être désignées si elles sont jugées critiques pour la stabilité économique, la sécurité publique ou la continuité des services essentiels.

Les autorités chypriotes conservent des pouvoirs formels de désignation lorsque cela est justifié par un risque systémique.

5. Cadre de classification des entités à Chypre

Les entités sont catégorisées comme suit :

• Entités essentielles — Soumises à une supervision proactive, notamment des audits et un suivi structuré de la conformité.
• Entités importantes — Principalement soumises à une supervision réactive déclenchée par des incidents significatifs ou des préoccupations de conformité.

La classification est déterminée par le secteur et la taille. Les autorités peuvent reclasser des entités lorsque l’impact opérationnel ou l’exposition au risque justifie une surveillance renforcée.

La structure de classification de Chypre reflète le modèle à deux niveaux de la directive.

6. Exigences de gestion des risques de cybersécurité à Chypre

Chypre s’aligne sur le socle de la directive pour la gestion des risques de cybersécurité. Les entités concernées doivent mettre en œuvre des mesures techniques et organisationnelles proportionnées couvrant :

• Analyse des risques et sécurité des systèmes
• Prévention et réponse aux incidents
• Continuité d’activité et planification de crise
• Contrôles des risques de chaîne d’approvisionnement NIS2 à Chypre
• Acquisition et développement sécurisés des systèmes
• Contrôle d’accès et gestion des identités
• Mesures de chiffrement et de protection cryptographique
• Procédures de gestion des vulnérabilités
• Sensibilisation et formation cybersécurité du personnel

Les mesures doivent refléter l’état de l’art et le profil de risque de l’organisation. L’alignement sur ISO/IEC 27001 et les orientations chypriotes reconnues en cybersécurité est encouragé.

La supervision de la chaîne d’approvisionnement inclut des garanties contractuelles et le suivi des prestataires afin d’atténuer le risque de contagion cyber.

7. Responsabilité de la direction et gouvernance à Chypre

Les organes de direction doivent approuver formellement les mesures de gestion des risques de cybersécurité et en superviser la mise en œuvre.

Dans le cadre national chypriote :

• Les conseils d’administration sont responsables de la supervision de la conformité.
• La haute direction doit garantir des connaissances adéquates en cybersécurité.
• Des sanctions administratives peuvent viser des défaillances de gouvernance.
• La suspension temporaire des fonctions managériales peut être disponible au titre de mécanismes alignés sur la directive.

Les standards de responsabilité de la direction NIS2 à Chypre élèvent la responsabilité en matière de cybersécurité au niveau exécutif.

8. Obligations de notification d’incident à Chypre

9. Autorités de surveillance et modèle d’exécution à Chypre

Autorité principale : Digital Security Authority (DSA).

Chypre opère un modèle de supervision centralisé soutenu par des régulateurs sectoriels lorsque nécessaire.

Supervisory powers include:

• Demandes de documentation et d’informations
• Audits de sécurité
• Inspections sur site
• Instructions de conformité contraignantes
• Participation aux cadres de coordination de la cybersécurité de l’UE

La structure d’exécution s’aligne sur les mécanismes de coopération prévus par la directive.

10. Sanctions et amendes NIS2 à Chypre

Chypre applique des sanctions administratives alignées sur la directive.

L’application des amendes NIS2 à Chypre peut également inclure :

• Injonctions correctives contraignantes
• Identification publique des entités non conformes
• Suspension de la certification ou de l'autorisation
• Pouvoirs de suspension des fonctions dirigeantes

La responsabilité pénale ne s’applique que lorsqu’elle est expressément prévue par la législation chypriote.

11. Sécurité de la chaîne d’approvisionnement et des fournisseurs NIS2 à Chypre

Les entités doivent gérer l’exposition au risque de cybersécurité lié aux tiers au moyen de :

• Diligence raisonnable des prestataires
• Exigences contractuelles de sécurité imposées en cascade
• Surveillance continue des fournisseurs TIC
• Analyse du risque de concentration
• Atténuation de la propagation des incidents

L’approche de Chypre s’aligne sur les attentes de base de la directive relatives à la gestion des risques tiers.

12. Obligations d’enregistrement et d’auto-identification à Chypre

Entities within scope must:

• S'enregistrer auprès des autorités compétentes
• Fournir les informations d'identification de l'entité
• Déclarer la classification sectorielle
• Maintenir à jour les coordonnées

Les délais procéduraux suivent le cadre d’exécution de Chypre. À l’état actuel de la transposition, Chypre suit le cadre de base de la directive NIS2. Les détails nationaux d’exécution peuvent affiner certaines obligations.

L’auto-identification est requise lorsque les entités atteignent les seuils légaux.

13. Interaction avec le GDPR et autres lois à Chypre

Le GDPR continue de s’appliquer parallèlement.

Les zones de chevauchement incluent :

• Notification de violation de données personnelles sous 72 heures
• Coordination des autorités de contrôle
• Enquêtes parallèles en cybersécurité et en protection des données
• Règles chypriotes sectorielles en matière de cybersécurité

14. Applicabilité transfrontalière

Les entités dont l’établissement principal est à Chypre relèvent de la supervision chypriote pour les services transfrontaliers.

Les prestataires numériques étrangers offrant des services à Chypre peuvent être soumis à des obligations locales selon la structure d’établissement.

Les exigences de représentation suivent les standards de la directive pour les prestataires non européens desservant les marchés chypriotes.

15. Calendrier de mise en œuvre à Chypre

• Adoption de la Directive : 2022
• Amendements législatifs nationaux : 2024–2025
• Entrée en vigueur : À la publication nationale
• Notification à la Commission : Conformément aux procédures de l’UE
• Jalon de conformité : Échéances alignées sur la directive

Le processus de transposition de Chypre s’aligne sur le calendrier de mise en œuvre de l’UE.

16. Points clés pour les PME à Chypre

• Les entités de taille moyenne dans les secteurs couverts sont automatiquement dans le périmètre.
• Les petites entités peuvent être désignées si elles sont critiques pour la stabilité économique ou publique.
• La gouvernance au niveau du conseil est obligatoire.
• La notification des incidents suit les délais 24h / 72h / 1 mois.
• Les sanctions financières peuvent atteindre €10 million ou 2% du chiffre d’affaires mondial.
• La gestion du risque fournisseur est une obligation clé.
• Une planification précoce de la conformité réduit l’exposition à l’exécution.

FAQ : Guide NIS2 Chypre pour les PME