NIS2 en République tchèque

Guide de mise en œuvre et de conformité NIS2 en République tchèque.

Ce document présente des informations à jour en avril 2026. Bien que toutes les mesures raisonnables aient été prises pour vérifier l'exactitude du contenu, les informations sont fournies sans garantie d'exhaustivité ni d'exactitude et peuvent être modifiées. Bien que nous prévoyions de mettre à jour régulièrement ce contenu, il est conseillé aux lecteurs de vérifier de manière indépendante les informations critiques.

La République tchèque met en œuvre le cadre renforcé de cybersécurité de l’UE au titre de la Directive NIS2 au moyen de mises à jour complètes de sa législation nationale en matière de cybersécurité. Le régime révisé élargit la couverture sectorielle, la responsabilité de la gouvernance, les obligations de notification et les pouvoirs d’exécution. Ce guide propose un aperçu structuré des exigences de conformité NIS2 en République tchèque pour les PME opérant dans des secteurs réglementés.

1. Aperçu rapide de l’applicabilité aux PME en République tchèque

La NIS2 s'applique-t-elle aux PME en 1. Aperçu rapide de l’applicabilité aux PME en République tchèque ?

Oui — selon le secteur et la taille.

Applicabilité automatique aux entités de taille moyenne (≥50 employés et ≥€10 million de chiffre d'affaires ou de total de bilan) exerçant des activités dans les secteurs couverts.
Les petites ou microentités ne sont incluses que si elles sont formellement désignées ou si elles exercent des activités dans des secteurs à haute criticité.
S’applique aux entités établies en République tchèque et, dans certains cas, aux fournisseurs numériques étrangers desservant le marché tchèque.

Les PME doivent évaluer leur assujettissement au régime national de cybersécurité en fonction de la classification sectorielle et des seuils légaux.

2. Vue d’ensemble de la mise en œuvre de NIS2 en République tchèque

La République tchèque a transposé la Directive au moyen de la Loi n° 264/2025 Rec. sur la cybersécurité, adoptée le 11 juin 2025, publiée le 4 août 2025 et en vigueur depuis le 1er novembre 2025. La Loi remplace intégralement le cadre antérieur et est complétée par sept décrets d'application et deux règlements gouvernementaux ; certains actes de droit dérivé restent en attente.

La nouvelle loi aligne le régime tchèque de cybersécurité sur Directive (UE) 2022/2555 et restructure le modèle de supervision, les obligations de gestion des risques et les mécanismes de sanction sous l'égide de la National Cyber and Information Security Agency (NÚKIB).

Le régime tchèque introduit trois écarts notables par rapport au socle de la Directive : les entités essentielles doivent notifier tous les incidents d'origine cyber (et pas uniquement les incidents significatifs), NÚKIB peut restreindre ou interdire certains fournisseurs ou produits dans les chaînes d'approvisionnement des entités stratégiquement importantes, et les entités doivent s'auto-identifier et s'enregistrer via un portail dédié de NÚKIB dans un délai de 60 jours après avoir rempli les conditions légales.

3. Champ d’application en République tchèque

Entités essentielles

Entités exerçant des activités dans des secteurs hautement critiques :

Entités importantes

Entités exerçant des activités dans d'autres secteurs listés :

Le périmètre tchèque reflète les catégories sectorielles minimales de la Directive sans expansion structurelle confirmée.

4. Seuils de taille et applicabilité aux PME en République tchèque

Les seuils de base s'appliquent :

≥50 employés, et
≥€10 million de chiffre d'affaires annuel ou de total de bilan.

Les entités qui remplissent les deux critères dans les secteurs couverts entrent automatiquement dans le champ d’application.

Les petites et micro-entreprises peuvent être désignées lorsqu’elles sont jugées critiques pour la stabilité économique, la sécurité publique ou la continuité des services essentiels.

Les autorités tchèques conservent des pouvoirs de désignation lorsque cela est justifié par un risque systémique ou des considérations de sécurité nationale.

5. Cadre de classification des entités en République tchèque

Les entités sont classées comme suit :

Entités essentielles — Soumises à une supervision proactive, incluant des audits et un suivi structuré de la conformité.
Entités importantes — Principalement soumises à une supervision réactive déclenchée par des incidents significatifs ou des préoccupations de conformité.

La classification est déterminée par le secteur et la taille. Les autorités compétentes peuvent reclasser les entités lorsque l’impact opérationnel ou l’exposition au risque justifient une surveillance plus stricte.

La structure de classification tchèque reflète le modèle de supervision à deux niveaux de la Directive.

6. Exigences de gestion des risques en cybersécurité en République tchèque

Le régime tchèque s’aligne sur le socle de la Directive pour la gestion des risques en cybersécurité. Les entités dans le champ d’application doivent mettre en œuvre des mesures techniques et organisationnelles proportionnées couvrant :

Analyse des risques et sécurité des systèmes
Prévention et réponse aux incidents
Continuité des activités et gestion de crise
Contrôles des risques de la chaîne d’approvisionnement NIS2 en République tchèque
Acquisition et développement sécurisés des systèmes
Contrôle d’accès et gestion des identités
Chiffrement et garanties cryptographiques
Procédures de gestion des vulnérabilités
Formation du personnel à la cybersécurité

Les mesures doivent refléter l'état de l'art et l'exposition aux risques de l'organisation. Le régime tchèque exige un Système de management de la sécurité de l'information (SMSI) formel assorti d'un plan de traitement des risques documenté ; un alignement sur ISO/IEC 27001 et les orientations nationales de NÚKIB est attendu.

La gestion des risques liés à la chaîne d'approvisionnement va au-delà du socle de la Directive : NÚKIB peut restreindre ou interdire certains fournisseurs ou produits dans les chaînes d'approvisionnement des entités stratégiquement importantes, ce qui peut affecter les contrats avec des fournisseurs technologiques non européens.

7. Responsabilité des dirigeants et gouvernance en République tchèque

Les organes de direction doivent approuver formellement les mesures de gestion des risques de cybersécurité et en superviser la mise en œuvre.

Dans le cadre tchèque :

Les conseils d’administration sont responsables de la surveillance de la conformité.
La haute direction doit veiller à des compétences suffisantes en cybersécurité.
Des sanctions administratives peuvent viser des défaillances de gouvernance.
La suspension temporaire de fonctions managériales peut être prévue dans le cadre de mécanismes d’exécution alignés sur la Directive.

Les normes NIS2 relatives à la responsabilité des dirigeants en République tchèque élèvent la cybersécurité au rang de responsabilité au niveau exécutif.

8. Obligations de notification des incidents en République tchèque

Définition d'un incident significatif

An incident qualifies if it causes:

Perturbation opérationnelle grave
Perte financière significative
Impact sociétal substantiel
Effets transfrontaliers

Calendrier de notification

Phase de notification	Délai	Autorité
Initial Incident Report	24 hours from detection	NÚKIB (essential entities); national CSIRT (important entities)
Rapport final	1 mois	NÚKIB (essential entities); national CSIRT (important entities)

Le régime tchèque s'écarte du socle de la Directive : les entités essentielles doivent notifier à NÚKIB tous les incidents d'origine cyber, qu'ils atteignent ou non le seuil de significativité. Le seuil de significativité ne s'applique qu'aux entités importantes, qui notifient les incidents significatifs au CSIRT national. Les autorités sectorielles peuvent se coordonner avec NÚKIB le cas échéant.

9. Autorités de surveillance et modèle d’application en République tchèque

Autorité principale : National Cyber and Information Security Agency (NÚKIB), qui exploite un portail dédié pour l'enregistrement des entités, les notifications d'incidents et les interactions de supervision.

La République tchèque applique un modèle de supervision centralisé sous l’égide de NÚKIB, avec l’appui des régulateurs sectoriels si nécessaire.

Supervisory powers include:

Demandes d'informations
Audits de sécurité
Inspections sur site
Instructions de conformité contraignantes
Participation à la coordination européenne en cybersécurité

Au-delà du socle de la Directive, NÚKIB peut interdire temporairement aux représentants de la direction des entités essentielles l'exercice de leurs fonctions pour une durée minimale de six mois, et jusqu'au rétablissement de la conformité — une sanction plus prescriptive que les dispositions générales de suspension prévues par la Directive.

10. Amendes et sanctions NIS2 en République tchèque

La République tchèque applique des sanctions administratives alignées sur la Directive.

Entités essentielles

Jusqu'à €10 million ou 2% du chiffre d'affaires annuel mondial total (le plus élevé des deux)

Entités importantes

Jusqu'à €7 million ou 1.4% du chiffre d'affaires annuel mondial total (le plus élevé des deux)

L’exécution des amendes NIS2 en République tchèque peut également inclure :

Injonctions correctives contraignantes
Identification publique des entités non conformes
Suspension des autorisations ou des certifications
Pouvoirs de suspension des dirigeants

11. Sécurité de la chaîne d’approvisionnement et des fournisseurs dans le cadre de NIS2 en République tchèque

Les entités doivent gérer l’exposition cyber des tiers au moyen de :

Évaluations des risques fournisseurs
Exigences contractuelles de répercussion des obligations de sécurité
Surveillance continue des fournisseurs TIC
Analyse du risque de concentration
Atténuation de la propagation des incidents

Le cadre tchèque est aligné sur les attentes de base de la Directive en matière de gestion des risques liés aux tiers.

12. Obligations d’enregistrement et d’auto-identification en République tchèque

Entities within scope must:

Auto-identification et enregistrement via le portail NÚKIB dans un délai de 60 jours après avoir rempli les conditions légales ; les entités déjà dans le périmètre au 1er novembre 2025 disposaient d'une date limite d'enregistrement au 31 décembre 2025
Communication des éléments d'identification de l'entité
Déclaration de la classification sectorielle
Maintien à jour des coordonnées de contact

À réception de la décision d'enregistrement de NÚKIB, les entités disposent de 30 jours pour fournir des informations complémentaires de contact, de propriété, techniques et géographiques, suivies d'une période transitoire de 12 mois pour atteindre la pleine conformité en matière de sécurité et de notification.

L'auto-identification est obligatoire lorsque les entités atteignent les seuils légaux.

13. Interaction avec le GDPR et d’autres lois en République tchèque

The General Data Protection Regulation continue de s’appliquer concomitamment.

Les domaines de recoupement comprennent :

Notification d’une violation de données à caractère personnel dans les 72 heures
Coordination entre autorités de contrôle
Enquêtes parallèles en cybersécurité et en protection des données
Règles tchèques sectorielles de cybersécurité

Un seul incident cyber peut déclencher des obligations de notification au titre des deux régimes.

14. Applicabilité transfrontalière

Les entités dont l’établissement principal se trouve en République tchèque relèvent de l’autorité de surveillance tchèque pour les services transfrontaliers.

Les prestataires numériques étrangers offrant des services en République tchèque peuvent être soumis à des obligations nationales selon leur structure d’établissement.

Les exigences de représentation suivent les normes de la Directive pour les prestataires non-UE desservant les marchés tchèques.

15. Calendrier de mise en œuvre en République tchèque

Adoption de la Directive : 2022
Loi n° 264/2025 Rec. adoptée le 11 juin 2025 ; publiée le 4 août 2025
Entrée en vigueur : 1er novembre 2025
Notification à la Commission : avis motivé de la CE en mai 2025 (avant promulgation) ; la complétude de la notification est en cours de revue par la Commission
Jalons de conformité : enregistrement via le portail NÚKIB avant le 31 décembre 2025 (ou 60 jours après l'entrée dans le périmètre) ; informations complémentaires sous 30 jours suivant la décision d'enregistrement ; pleine conformité en matière de sécurité 12 mois après la décision d'enregistrement

La République tchèque a achevé la transposition le 1er novembre 2025 ; l'enregistrement via le portail NÚKIB était dû au 31 décembre 2025 ; la pleine conformité est requise 12 mois après la décision d'enregistrement ; certains actes de droit dérivé restent en attente.

16. Points clés pour les PME en République tchèque

La transposition de NIS2 est achevée en République tchèque par la Loi n° 264/2025 Rec., en vigueur depuis le 1er novembre 2025.
Les entités sont classées comme Essentielles ou Importantes en fonction du secteur et de la taille, avec une supervision proactive pour les entités essentielles.
La gestion des risques requiert un SMSI documenté et des mesures conformes à l'état de l'art ; un alignement sur ISO/IEC 27001 est encouragé.
La notification d'incidents suit les délais 24 h rapport initial / 1 mois rapport final. Les entités essentielles doivent notifier tous les incidents d'origine cyber (et pas uniquement les incidents significatifs) à NÚKIB — plus strict que la Directive. Les entités importantes notifient les incidents significatifs au CSIRT national.
Les organes de direction doivent approuver et superviser les mesures de cybersécurité ; NÚKIB peut interdire temporairement aux représentants de la direction l'exercice de leurs fonctions pendant au moins six mois dans les cas graves.
La gestion des risques fournisseurs est une obligation essentielle. NÚKIB peut restreindre ou interdire certains fournisseurs ou produits dans les chaînes d'approvisionnement des entités stratégiquement importantes — une exigence allant au-delà de la Directive qui peut affecter les contrats avec des fournisseurs technologiques non européens.
L'auto-identification et l'enregistrement via le portail dédié de NÚKIB sont obligatoires ; la date limite pour les entités dans le périmètre au 1er novembre 2025 était le 31 décembre 2025.

FAQ : Guide NIS2 pour les PME en République tchèque

NIS2 s’applique‑t‑il aux petites entreprises en République tchèque ?

Les petites entreprises sont généralement exclues, sauf désignation expresse ou activité dans des secteurs hautement critiques. Les entités de taille moyenne qui atteignent les seuils sont automatiquement couvertes.

Quelles sont les amendes NIS2 en République tchèque ?

Les entités essentielles encourent des sanctions allant jusqu’à €10 million ou 2 % du chiffre d’affaires annuel mondial. Les entités importantes encourent jusqu’à €7 million ou 1,4 % du chiffre d’affaires annuel mondial.

Quand NIS2 entre‑t‑il en vigueur en République tchèque ?

La Loi n° 264/2025 Rec. sur la cybersécurité est en vigueur depuis le 1er novembre 2025. Les entités dans le périmètre devaient s'enregistrer via le portail NÚKIB avant le 31 décembre 2025, et disposent de 12 mois à compter de la décision d'enregistrement pour atteindre la pleine conformité. Certains actes de droit dérivé restent en attente. Les entités non encore enregistrées doivent agir sans délai.

Qui applique NIS2 en République tchèque ?

La National Cyber and Information Security Agency (NÚKIB) agit en tant qu’autorité de surveillance principale, en coordination avec les régulateurs sectoriels le cas échéant.

Les administrateurs peuvent‑ils être personnellement responsables au titre de NIS2 en République tchèque ?

Les organes de direction doivent approuver et superviser les mesures de cybersécurité. L’application administrative peut inclure des pouvoirs de suspension à l’encontre des dirigeants dans les cas graves.

En quoi NIS2 diffère‑t‑il du GDPR en République tchèque ?

NIS2 régit la résilience cyber et la gestion des risques opérationnels, tandis que le GDPR encadre la protection des données à caractère personnel. Les deux cadres peuvent s’appliquer à la suite d’un incident cyber.

Qu’est‑ce qui constitue un incident significatif au titre de NIS2 en République tchèque ?

Un incident entraînant une perturbation grave, des pertes financières significatives, un impact sociétal ou des conséquences transfrontalières atteint généralement le seuil de notification.