NIS2 en Grèce

1. Aperçu rapide de l'applicabilité aux PME en Grèce

La NIS2 s'applique-t-elle aux PME en 1. Aperçu rapide de l'applicabilité aux PME en Grèce ?

Oui — selon le secteur et la taille.

• Applicabilité automatique aux entités de taille moyenne (≥50 employés et ≥€10 million de chiffre d'affaires ou de total de bilan) exerçant des activités dans les secteurs couverts.
• Les petites ou microentités ne sont incluses que si elles sont formellement désignées ou si elles exercent des activités dans des secteurs à haute criticité.
• S'applique aux entités établies en Grèce et, dans certains cas, aux prestataires numériques étrangers desservant le marché grec.

Les PME doivent évaluer leur qualification au regard du cadre national de cybersécurité de la Grèce, sur la base de la classification sectorielle et des seuils fixés par la loi.

2. Aperçu de la mise en œuvre de la NIS2 en Grèce

La Grèce a transposé la NIS2 par la loi 5160/2024 (« Transposition de la directive (UE) 2022/2555 relative à des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l'ensemble de l'Union »), publiée au Journal officiel (Journal officiel du gouvernement A'/195) le 27 novembre 2024 et en vigueur depuis le 28 novembre 2024. Il s'agit d'une nouvelle loi-cadre, et non d'un amendement, qui remplace l'ancienne loi 4577/2018 transposant la NIS1. Pour les collectivités locales de premier niveau, l'application a commencé le 27 novembre 2025.

Le cadre est complété par deux décisions ministérielles clés : la décision ministérielle 1645/2025 (15 avril 2025) établissant la procédure d'enregistrement des entités, et la décision ministérielle 1689/2025 (6 mai 2025) définissant le cadre national des exigences de cybersécurité couvrant 22 thématiques de sécurité spécifiques applicable aux entités réglementées.

La mise en œuvre grecque comprend plusieurs exigences allant au-delà du socle de la directive : nomination obligatoire d'un Information and Communication Systems Security Officer (ICSSO) — fonction incompatible avec celle du Délégué à la protection des données ; formation annuelle obligatoire en cybersécurité pour la direction et les employés ; et obligation de tenir un inventaire complet des actifs TIC corporels et incorporels. L'approbation des mesures de gestion des risques par l'organe de direction devait intervenir dans les trois mois suivant l'entrée en vigueur de la loi (échéance : 28 février 2025 — déjà dépassée).

3. Champ d'application en Grèce

Le champ d'application de la Grèce reflète les catégories sectorielles minimales de la Directive, sans expansion structurelle confirmée.

4. Seuils de taille et applicabilité aux PME en Grèce

Les seuils de base s'appliquent :

• ≥50 employés, et
• ≥€10 million de chiffre d'affaires annuel ou de total de bilan.

Les entités qui remplissent les deux critères dans les secteurs couverts relèvent automatiquement du champ d'application.

Les petites et microentreprises peuvent être désignées lorsqu'elles sont considérées comme critiques pour la sécurité publique, la stabilité économique ou le fonctionnement de la société.

Les autorités grecques conservent des pouvoirs formels de désignation lorsque le risque systémique justifie l'inclusion.

5. Cadre de classification des entités en Grèce

Les entités sont classées comme suit :

• Entités essentielles — Soumises à une supervision proactive, y compris des audits et un suivi structuré de la conformité.
• Entités importantes — Principalement soumises à une supervision réactive déclenchée par des incidents significatifs ou des préoccupations de conformité.

La classification est déterminée par le secteur et la taille. Les autorités peuvent reclassifier des entités lorsque l’impact opérationnel ou l’exposition aux risques justifie un renforcement de la supervision.

La Grèce applique le modèle de supervision à deux niveaux de la Directive.

6. Exigences de gestion des risques de cybersécurité en Grèce

Le régime national de la Grèce s’aligne sur le socle de la Directive en matière de gestion des risques de cybersécurité. Les entités concernées doivent mettre en œuvre des mesures techniques et organisationnelles proportionnées couvrant :

• Analyse des risques et protection des systèmes
• Détection et réponse aux incidents
• Continuité d’activité et gestion de crise
• Contrôles des risques de la chaîne d’approvisionnement NIS2 en Grèce
• Acquisition et développement sécurisés des systèmes TIC
• Contrôle d’accès et gestion des identités
• Chiffrement et protections cryptographiques
• Procédures de gestion des vulnérabilités
• Formation du personnel à la cybersécurité

Les mesures doivent refléter l'état de l'art et l'exposition aux risques de l'organisation. La Grèce a publié un cadre national d'exigences de cybersécurité (décision ministérielle 1689/2025) définissant 22 thématiques de sécurité spécifiques à traiter par les entités essentielles et importantes. Les entités doivent également tenir un inventaire complet des actifs TIC corporels et incorporels et soumettre une politique de cybersécurité à la NCSA. Les évaluations des risques doivent être révisées chaque année ou après des changements majeurs. L'alignement sur ISO/IEC 27001 est encouragé.

7. Responsabilité de la direction et gouvernance en Grèce

Les organes de direction doivent approuver formellement les mesures de gestion des risques en cybersécurité et en superviser la mise en œuvre.

Dans le cadre réglementaire de la Grèce :

• Les conseils d'administration sont responsables de la supervision de la conformité. Les organes de direction devaient approuver formellement les mesures de gestion des risques de cybersécurité dans les trois mois suivant l'entrée en vigueur de la loi (échéance : 28 février 2025 — déjà dépassée).
• La haute direction doit garantir des compétences suffisantes en cybersécurité. Les membres des organes de direction doivent suivre une formation spéciale en cybersécurité et veiller à ce qu'une formation similaire soit dispensée aux employés au moins une fois par an.
• Des sanctions administratives peuvent viser les manquements de gouvernance.
• La NCSA peut interdire temporairement à toute personne physique exerçant des responsabilités de direction au niveau de directeur général ou de représentant légal d'exercer des fonctions de direction au sein d'une entité essentielle. Les membres de la direction peuvent également être tenus personnellement responsables des manquements aux obligations de gestion des risques de cybersécurité et de formation au titre de la loi 5160/2024.

Les attentes de la Grèce en matière de responsabilité de la direction au titre de NIS2 élèvent la gouvernance de la cybersécurité au rang de responsabilité de niveau exécutif.

8. Obligations de notification des incidents en Grèce

9. Autorités de surveillance et modèle d'application en Grèce

Autorité principale : Autorité nationale de cybersécurité (NCSA).

La Grèce applique un modèle de supervision centralisé coordonné par la NCSA, avec l’intervention des régulateurs sectoriels lorsque nécessaire.

Les pouvoirs de supervision comprennent :

• Demandes de documentation et d’informations
• Audits de sécurité
• Inspections sur site
• Instructions contraignantes en matière de conformité
• Participation aux mécanismes de coordination de la cybersécurité de l’UE

La structure d’application est alignée sur les exigences de coopération au niveau de la directive.

10. Amendes et sanctions NIS2 en Grèce

La Grèce applique des sanctions administratives alignées sur la directive.

L’application des amendes NIS2 en Grèce peut également inclure :

• Ordres de remédiation contraignants
• Identification publique des entités non conformes
• Suspension des autorisations ou des certifications
• Pouvoirs de suspension des dirigeants

La responsabilité pénale ne s'applique que lorsqu'elle est explicitement prévue par la législation grecque.

11. NIS2 - Sécurité de la chaîne d'approvisionnement et des fournisseurs en Grèce

Les entités doivent gérer l'exposition aux risques de cybersécurité des tiers au moyen de :

• Évaluations des risques liés aux fournisseurs
• Clauses contractuelles de transmission des exigences de sécurité
• Surveillance continue des fournisseurs TIC
• Analyse du risque de concentration
• Atténuation de la propagation des incidents

L'approche de la Grèce est alignée sur les attentes minimales de la Directive en matière de gestion des risques fournisseurs.

12. Obligations d'enregistrement et d'auto-identification en Grèce

Les entités entrant dans le champ d'application doivent :

• S'enregistrer via la plateforme numérique de la NCSA (nis2register.cyber.gov.gr). L'échéance générale d'enregistrement était fixée au 30 septembre 2025 (prolongée par rapport à des dates antérieures) ; les fournisseurs DNS, cloud, CDN, services managés et autres entités d'infrastructure numérique avaient une échéance antérieure au 28 mars 2025. Les deux échéances sont désormais dépassées — les entités non encore enregistrées doivent agir immédiatement.
• Fournir les informations d'identification de l'entreprise
• Indiquer la classification sectorielle
• Maintenir à jour les contacts de notification. Toute modification des informations enregistrées doit être communiquée à la NCSA dans un délai de deux semaines.

Outre l'enregistrement, les entités doivent nommer un ICSSO (Information and Communication Systems Security Officer) comme point de contact dédié auprès de la NCSA. Cette fonction est incompatible avec celle du Délégué à la protection des données. Les règles de qualification de l'ICSSO sont entrées en vigueur le 1er novembre 2025.

L'auto-identification est obligatoire lorsque les entités atteignent les seuils légaux. La NCSA peut également désigner d'autres entités sur la base d'évaluations des risques ou de la criticité.

13. Interaction avec le RGPD et d'autres lois en Grèce

Le Règlement général sur la protection des données continue de s'appliquer en parallèle.

Les chevauchements à prendre en compte comprennent :

• Notification d'une violation de données à caractère personnel dans les 72 heures
• Coordination avec l'autorité de contrôle
• Enquêtes parallèles en matière de cybersécurité et de protection des données
• Législation grecque de cybersécurité spécifique à certains secteurs

Un seul incident de cybersécurité peut déclencher des obligations de notification au titre des deux régimes.

14. Applicabilité transfrontalière

Les entités dont l’établissement principal se trouve en Grèce sont supervisées par les autorités grecques pour les services transfrontaliers.

Les fournisseurs numériques étrangers offrant des services en Grèce peuvent être soumis à des obligations nationales selon leur structure d’établissement.

Les exigences en matière de représentation suivent les normes de la Directive pour les fournisseurs non établis dans l’UE desservant le marché grec.

15. Calendrier de mise en œuvre en Grèce

• Adoption de la Directive : 2022
• Modifications législatives nationales : loi 5160/2024 adoptée par le Parlement grec ; publiée au Journal officiel le 27 novembre 2024 ; complétée par la décision ministérielle 1645/2025 (enregistrement, 15 avril 2025) et la décision ministérielle 1689/2025 (cadre des exigences de cybersécurité à 22 thématiques, 6 mai 2025).
• Entrée en vigueur : 28 novembre 2024 ; collectivités locales de premier niveau : 27 novembre 2025.
• Notification à la Commission : entièrement notifiée ; la Grèce ne figure pas parmi les États membres faisant l'objet d'un avis motivé en cours de la Commission.
• Jalons de conformité : approbation des mesures de gestion des risques par l'organe de direction : 28 février 2025 (dépassée) ; enregistrement des fournisseurs d'infrastructure numérique : 28 mars 2025 (dépassée) ; enregistrement général des entités : 30 septembre 2025 (dépassée) ; entrée en vigueur des règles de qualification de l'ICSSO : 1er novembre 2025 ; audits de la NCSA lancés : T4 2025.

La Grèce figurait parmi les premiers États membres de l'UE à achever la transposition de la NIS2. Tous les jalons initiaux de conformité — approbation des mesures de gestion des risques par l'organe de direction, enregistrement des entités et nomination de l'ICSSO — sont dépassés. Les audits de la NCSA sont en cours.

16. Points clés pour les PME en Grèce

• Les entités de taille moyenne dans les secteurs couverts sont automatiquement dans le champ d'application.
• Les petites entités peuvent être désignées si elles sont critiques pour la stabilité nationale ou économique.
• La supervision de la gouvernance au niveau du conseil d'administration est obligatoire. La direction doit avoir formellement approuvé les mesures de gestion des risques de cybersécurité (échéance : 28 février 2025) et garantir une formation annuelle en cybersécurité pour la direction et les employés. La responsabilité personnelle des membres de la direction est expressément prévue par la loi 5160/2024.
• La notification des incidents respecte des délais de 24 h / 72 h / 1 mois.
• Les sanctions financières peuvent atteindre 10 millions d'euros ou 2 % du chiffre d'affaires mondial.
• La gestion des risques liés aux fournisseurs est requise.
• Toutes les échéances clés sont dépassées. Les entités doivent également désigner un ICSSO dédié (incompatible avec la fonction de DPO), mettre en œuvre le cadre national des exigences de cybersécurité à 22 thématiques (décision ministérielle 1689/2025) et tenir un inventaire complet des actifs TIC. Les audits de la NCSA ont débuté au T4 2025.

FAQ : Guide NIS2 pour les PME en Grèce