NIS2 en Chypre

1. Aperçu rapide de l’applicabilité aux PME à Chypre

La NIS2 s'applique-t-elle aux PME en 1. Aperçu rapide de l’applicabilité aux PME à Chypre ?

Oui — selon le secteur et la taille.

• Applicabilité automatique aux entités de taille moyenne (≥50 employés et ≥€10 million de chiffre d'affaires ou de total de bilan) exerçant des activités dans les secteurs couverts.
• Les petites ou microentités ne sont incluses que si elles sont formellement désignées ou si elles exercent des activités dans des secteurs à haute criticité.
• S’applique aux entités établies à Chypre et, dans certaines circonstances, aux prestataires numériques étrangers desservant le marché chypriote.

Les PME devraient évaluer si elles relèvent du régime national de cybersécurité de Chypre en fonction de la classification sectorielle et des seuils légaux.

2. Aperçu de la mise en œuvre de NIS2 à Chypre

Chypre a transposé la NIS2 par la loi sur la sécurité des réseaux et des systèmes d'information (amendement) de 2025 (60(I)/2025), adoptée par le Parlement le 10 avril 2025 et en vigueur depuis le 25 avril 2025.

L'amendement met à jour la loi sur la sécurité des réseaux et des systèmes d'information de 2020 (L. 89(I)/2020) pour s'aligner sur la directive (UE) 2022/2555. La loi mise à jour modernise les obligations en matière de gouvernance, de notification d'incidents, de supervision et de sanctions, et élargit considérablement le nombre d'entités réglementées — d'environ 70 sous NIS1 à environ dix fois plus sous le nouveau cadre.

Chypre comprend deux déviations nationales notables par rapport à la directive : le délai d'alerte précoce est de 6 heures après la détection (plus strict que les 24 heures de la directive), et l'identification des entités suit un modèle d'évaluation dirigé par la DSA plutôt que l'auto-enregistrement. La complétude de la notification reste en cours d'examen suite à l'avis motivé de mai 2025 (émis avant l'adoption).

3. Champ d’application à Chypre

Le périmètre sectoriel de Chypre reflète les catégories minimales de la directive sans expansion nationale confirmée.

4. Seuils de taille et applicabilité aux PME à Chypre

Les seuils de base s'appliquent :

• ≥50 employés, et
• ≥€10 million de chiffre d'affaires annuel ou de total de bilan.

Les entités remplissant les deux critères au sein des secteurs couverts entrent automatiquement dans le périmètre.

Les petites et micro-entreprises peuvent être désignées si elles sont jugées critiques pour la stabilité économique, la sécurité publique ou la continuité des services essentiels.

Les autorités chypriotes conservent des pouvoirs formels de désignation lorsque cela est justifié par un risque systémique.

5. Cadre de classification des entités à Chypre

Les entités sont catégorisées comme suit :

• Entités essentielles — Soumises à une supervision proactive, notamment des audits et un suivi structuré de la conformité.
• Entités importantes — Principalement soumises à une supervision réactive déclenchée par des incidents significatifs ou des préoccupations de conformité.

La classification est déterminée par le secteur et la taille. Les autorités peuvent reclasser des entités lorsque l’impact opérationnel ou l’exposition au risque justifie une surveillance renforcée.

La structure de classification de Chypre reflète le modèle à deux niveaux de la directive.

6. Exigences de gestion des risques de cybersécurité à Chypre

Chypre s’aligne sur le socle de la directive pour la gestion des risques de cybersécurité. Les entités concernées doivent mettre en œuvre des mesures techniques et organisationnelles proportionnées couvrant :

• Analyse des risques et sécurité des systèmes
• Prévention et réponse aux incidents
• Continuité d’activité et planification de crise
• Contrôles des risques de chaîne d’approvisionnement NIS2 à Chypre
• Acquisition et développement sécurisés des systèmes
• Contrôle d’accès et gestion des identités
• Mesures de chiffrement et de protection cryptographique
• Procédures de gestion des vulnérabilités
• Sensibilisation et formation cybersécurité du personnel

Les mesures doivent refléter l’état de l’art et le profil de risque de l’organisation. L’alignement sur ISO/IEC 27001 et les orientations chypriotes reconnues en cybersécurité est encouragé.

La supervision de la chaîne d’approvisionnement inclut des garanties contractuelles et le suivi des prestataires afin d’atténuer le risque de contagion cyber.

7. Responsabilité de la direction et gouvernance à Chypre

Les organes de direction doivent approuver formellement les mesures de gestion des risques de cybersécurité et en superviser la mise en œuvre.

Dans le cadre national chypriote :

• Les conseils d’administration sont responsables de la supervision de la conformité.
• La haute direction doit garantir des connaissances adéquates en cybersécurité.
• Des sanctions administratives peuvent viser des défaillances de gouvernance.
• La suspension temporaire des fonctions managériales peut être disponible au titre de mécanismes alignés sur la directive.

Les standards de responsabilité de la direction NIS2 à Chypre élèvent la responsabilité en matière de cybersécurité au niveau exécutif.

8. Obligations de notification d’incident à Chypre

9. Autorités de surveillance et modèle d’exécution à Chypre

Autorité principale : Digital Security Authority (DSA). Le Commissaire aux communications est également désigné comme autorité de supervision. La DSA a publié un Guide concis sur la directive NIS2 pour aider les entités concernées.

Chypre opère un modèle de supervision centralisé soutenu par des régulateurs sectoriels lorsque nécessaire.

Supervisory powers include:

• Demandes de documentation et d’informations
• Audits de sécurité
• Inspections sur site
• Instructions de conformité contraignantes
• Participation aux cadres de coordination de la cybersécurité de l’UE

La structure d'application s'aligne sur les mécanismes de coopération au niveau de la directive. Le cadre des mesures de sécurité de Chypre référence les normes ISO 27001, NIST SP 800-53 et les lignes directrices du Groupe de coopération NIS comme références de conformité reconnues.

10. Sanctions et amendes NIS2 à Chypre

Chypre applique des sanctions administratives alignées sur la directive.

L’application des amendes NIS2 à Chypre peut également inclure :

• Injonctions correctives contraignantes
• Identification publique des entités non conformes
• Suspension de la certification ou de l'autorisation
• Pouvoirs de suspension des fonctions dirigeantes

La responsabilité pénale ne s’applique que lorsqu’elle est expressément prévue par la législation chypriote.

11. Sécurité de la chaîne d’approvisionnement et des fournisseurs NIS2 à Chypre

Les entités doivent gérer l’exposition au risque de cybersécurité lié aux tiers au moyen de :

• Diligence raisonnable des prestataires
• Exigences contractuelles de sécurité imposées en cascade
• Surveillance continue des fournisseurs TIC
• Analyse du risque de concentration
• Atténuation de la propagation des incidents

L’approche de Chypre s’aligne sur les attentes de base de la directive relatives à la gestion des risques tiers.

12. Obligations d’enregistrement et d’auto-identification à Chypre

Entities within scope must:

• Attendre la notification formelle de la DSA concernant l'identification comme entité essentielle ou importante. Chypre n'exige pas que les entités s'auto-enregistrent ; la DSA effectue une évaluation nationale et notifie les entités de leur statut et de leurs obligations.
• Fournir les données d'identification de l'entreprise
• Divulguer la classification sectorielle
• Maintenir les informations de contact à jour. Les changements doivent être signalés à la DSA dans un délai de deux semaines.

La DSA fournit un outil d'autoévaluation NIS2 non contraignant (disponible sur le site de la DSA) que les organisations peuvent utiliser pour effectuer une évaluation initiale de leur champ d'application potentiel — cela ne remplace pas la procédure officielle d'identification.

Bien que l'auto-enregistrement formel ne soit pas requis, les entités qui pensent pouvoir être concernées devraient utiliser l'outil d'autoévaluation de la DSA et se préparer à la conformité avant la notification formelle.

13. Interaction avec le GDPR et autres lois à Chypre

Le GDPR continue de s’appliquer parallèlement.

Les zones de chevauchement incluent :

• Notification de violation de données personnelles sous 72 heures
• Coordination des autorités de contrôle
• Enquêtes parallèles en cybersécurité et en protection des données
• Règles chypriotes sectorielles en matière de cybersécurité

14. Applicabilité transfrontalière

Les entités dont l’établissement principal est à Chypre relèvent de la supervision chypriote pour les services transfrontaliers.

Les prestataires numériques étrangers offrant des services à Chypre peuvent être soumis à des obligations locales selon la structure d’établissement.

Les exigences de représentation suivent les standards de la directive pour les prestataires non européens desservant les marchés chypriotes.

15. Calendrier de mise en œuvre à Chypre

• Adoption de la Directive : 2022
• Loi sur la sécurité des réseaux et des systèmes d'information (amendement) de 2025 (60(I)/2025) adoptée par le Parlement le 10 avril 2025
• Entrée en vigueur : 25 avril 2025
• Notification à la Commission : Avis motivé de la CE émis en mai 2025 (avant l'adoption) ; complétude de la notification en cours d'examen par la Commission
• Jalon de conformité : Processus d'identification et de notification dirigé par la DSA en cours ; les entités ont des obligations à compter de la date de notification de la DSA ; délai d'alerte précoce de 6 heures — plus strict que la directive

Chypre a achevé la transposition en avril 2025. Les entités devraient utiliser l'outil d'autoévaluation de la DSA pour évaluer leur champ d'application probable et préparer leurs programmes de conformité avant la notification formelle.

16. Points clés pour les PME à Chypre

• Les entités de taille moyenne dans les secteurs couverts sont automatiquement dans le champ d'application.
• Les petites entités peuvent être désignées si elles sont essentielles à la stabilité économique ou publique.
• La supervision de la gouvernance au niveau du conseil d'administration est obligatoire.
• La notification d'incidents suit les délais 6h / 72h / 1 mois — l'alerte précoce de 6 heures de Chypre est plus stricte que la ligne de base de la directive UE de 24 heures.
• Les sanctions peuvent atteindre 10 millions d'€ ou 2 % du chiffre d'affaires mondial.
• La gestion des risques liés aux fournisseurs est une obligation fondamentale.
• Une planification précoce de la conformité réduit l'exposition aux sanctions.

FAQ : Guide NIS2 Chypre pour les PME