NIS2 en République tchèque

1. Aperçu rapide de l’applicabilité aux PME en République tchèque

La NIS2 s'applique-t-elle aux PME en 1. Aperçu rapide de l’applicabilité aux PME en République tchèque ?

Oui — selon le secteur et la taille.

• Applicabilité automatique aux entités de taille moyenne (≥50 employés et ≥€10 million de chiffre d'affaires ou de total de bilan) exerçant des activités dans les secteurs couverts.
• Les petites ou microentités ne sont incluses que si elles sont formellement désignées ou si elles exercent des activités dans des secteurs à haute criticité.
• S’applique aux entités établies en République tchèque et, dans certains cas, aux fournisseurs numériques étrangers desservant le marché tchèque.

Les PME doivent évaluer leur assujettissement au régime national de cybersécurité en fonction de la classification sectorielle et des seuils légaux.

2. Vue d’ensemble de la mise en œuvre de NIS2 en République tchèque

La République tchèque transpose la Directive au moyen d’une nouvelle Loi sur la cybersécurité, remplaçant et modernisant le cadre législatif antérieur régissant la sécurité des réseaux et des systèmes d’information.

La nouvelle loi aligne le régime tchèque de cybersécurité sur la Directive (UE) 2022/2555 et remanie le modèle de supervision, les obligations de gestion des risques et les mécanismes de sanction.

La législation renforce les obligations de gouvernance et formalise des procédures de notification conformes aux normes de l’UE.

3. Champ d’application en République tchèque

Le périmètre tchèque reflète les catégories sectorielles minimales de la Directive sans expansion structurelle confirmée.

4. Seuils de taille et applicabilité aux PME en République tchèque

Les seuils de base s'appliquent :

• ≥50 employés, et
• ≥€10 million de chiffre d'affaires annuel ou de total de bilan.

Les entités qui remplissent les deux critères dans les secteurs couverts entrent automatiquement dans le champ d’application.

Les petites et micro-entreprises peuvent être désignées lorsqu’elles sont jugées critiques pour la stabilité économique, la sécurité publique ou la continuité des services essentiels.

Les autorités tchèques conservent des pouvoirs de désignation lorsque cela est justifié par un risque systémique ou des considérations de sécurité nationale.

5. Cadre de classification des entités en République tchèque

Les entités sont classées comme suit :

• Entités essentielles — Soumises à une supervision proactive, incluant des audits et un suivi structuré de la conformité.
• Entités importantes — Principalement soumises à une supervision réactive déclenchée par des incidents significatifs ou des préoccupations de conformité.

La classification est déterminée par le secteur et la taille. Les autorités compétentes peuvent reclasser les entités lorsque l’impact opérationnel ou l’exposition au risque justifient une surveillance plus stricte.

La structure de classification tchèque reflète le modèle de supervision à deux niveaux de la Directive.

6. Exigences de gestion des risques en cybersécurité en République tchèque

Le régime tchèque s’aligne sur le socle de la Directive pour la gestion des risques en cybersécurité. Les entités dans le champ d’application doivent mettre en œuvre des mesures techniques et organisationnelles proportionnées couvrant :

• Analyse des risques et sécurité des systèmes
• Prévention et réponse aux incidents
• Continuité des activités et gestion de crise
• Contrôles des risques de la chaîne d’approvisionnement NIS2 en République tchèque
• Acquisition et développement sécurisés des systèmes
• Contrôle d’accès et gestion des identités
• Chiffrement et garanties cryptographiques
• Procédures de gestion des vulnérabilités
• Formation du personnel à la cybersécurité

Les mesures doivent refléter l’état de l’art et l’exposition aux risques de l’organisation. L’alignement sur ISO/IEC 27001 et les orientations nationales en matière de cybersécurité est encouragé.

La gestion des risques liés à la chaîne d’approvisionnement comprend des garanties contractuelles et la surveillance des prestataires de services TIC.

7. Responsabilité des dirigeants et gouvernance en République tchèque

Les organes de direction doivent approuver formellement les mesures de gestion des risques de cybersécurité et en superviser la mise en œuvre.

Dans le cadre tchèque :

• Les conseils d’administration sont responsables de la surveillance de la conformité.
• La haute direction doit veiller à des compétences suffisantes en cybersécurité.
• Des sanctions administratives peuvent viser des défaillances de gouvernance.
• La suspension temporaire de fonctions managériales peut être prévue dans le cadre de mécanismes d’exécution alignés sur la Directive.

Les normes NIS2 relatives à la responsabilité des dirigeants en République tchèque élèvent la cybersécurité au rang de responsabilité au niveau exécutif.

8. Obligations de notification des incidents en République tchèque

9. Autorités de surveillance et modèle d’application en République tchèque

Autorité principale : National Cyber and Information Security Agency (NÚKIB).

La République tchèque applique un modèle de supervision centralisé sous l’égide de NÚKIB, avec l’appui des régulateurs sectoriels si nécessaire.

Supervisory powers include:

• Demandes d'informations
• Audits de sécurité
• Inspections sur site
• Instructions de conformité contraignantes
• Participation à la coordination européenne en cybersécurité

La structure d’application est conforme aux exigences de coopération prévues au niveau de la Directive.

10. Amendes et sanctions NIS2 en République tchèque

La République tchèque applique des sanctions administratives alignées sur la Directive.

L’exécution des amendes NIS2 en République tchèque peut également inclure :

• Injonctions correctives contraignantes
• Identification publique des entités non conformes
• Suspension des autorisations ou des certifications
• Pouvoirs de suspension des dirigeants

11. Sécurité de la chaîne d’approvisionnement et des fournisseurs dans le cadre de NIS2 en République tchèque

Les entités doivent gérer l’exposition cyber des tiers au moyen de :

• Évaluations des risques fournisseurs
• Exigences contractuelles de répercussion des obligations de sécurité
• Surveillance continue des fournisseurs TIC
• Analyse du risque de concentration
• Atténuation de la propagation des incidents

Le cadre tchèque est aligné sur les attentes de base de la Directive en matière de gestion des risques liés aux tiers.

12. Obligations d’enregistrement et d’auto-identification en République tchèque

Entities within scope must:

• S'enregistrer auprès des autorités compétentes
• Fournir les informations d'identification de l'entité
• Déclarer la classification sectorielle
• Maintenir à jour les coordonnées

Les délais procéduraux suivent le cadre de mise en œuvre tchèque. Au stade actuel de la transposition, la République tchèque suit le cadre de base de la NIS2 Directive. Des précisions nationales de mise en œuvre peuvent affiner certaines obligations.

L'auto-identification est obligatoire lorsque les entités atteignent les seuils légaux.

13. Interaction avec le GDPR et d’autres lois en République tchèque

The General Data Protection Regulation continue de s’appliquer concomitamment.

Les domaines de recoupement comprennent :

• Notification d’une violation de données à caractère personnel dans les 72 heures
• Coordination entre autorités de contrôle
• Enquêtes parallèles en cybersécurité et en protection des données
• Règles tchèques sectorielles de cybersécurité

Un seul incident cyber peut déclencher des obligations de notification au titre des deux régimes.

14. Applicabilité transfrontalière

Les entités dont l’établissement principal se trouve en République tchèque relèvent de l’autorité de surveillance tchèque pour les services transfrontaliers.

Les prestataires numériques étrangers offrant des services en République tchèque peuvent être soumis à des obligations nationales selon leur structure d’établissement.

Les exigences de représentation suivent les normes de la Directive pour les prestataires non-UE desservant les marchés tchèques.

15. Calendrier de mise en œuvre en République tchèque

• Adoption de la Directive : 2022
• Adoption législative nationale : 2024–2025
• Entrée en vigueur : À la publication nationale
• Notification à la Commission : Conformément aux procédures de l’UE
• Jalons de conformité : Délais alignés sur la Directive

Le calendrier de transposition tchèque est aligné sur les exigences de mise en œuvre de l’UE.

16. Points clés pour les PME en République tchèque

• Les entités de taille moyenne dans les secteurs couverts sont automatiquement dans le champ d'application.
• Les petites entités peuvent être désignées si elles sont opérationnellement critiques.
• La supervision de la gouvernance au niveau du conseil est obligatoire.
• La notification des incidents suit des délais de 24h / 72h / 1 mois.
• Les sanctions financières peuvent atteindre €10 million ou 2% du chiffre d'affaires mondial.
• La gestion des risques liés aux fournisseurs est une obligation centrale.
• Une planification précoce de la conformité réduit l'exposition aux mesures d'exécution.

FAQ : Guide NIS2 pour les PME en République tchèque