NIS2 en Lettonie

1. Aperçu rapide de l’applicabilité aux PME en Lettonie

La NIS2 s'applique-t-elle aux PME en 1. Aperçu rapide de l’applicabilité aux PME en Lettonie ?

Oui — selon le secteur et la taille.

• Applicabilité automatique aux entités de taille moyenne (≥50 employés et ≥€10 million de chiffre d'affaires ou de total de bilan) exerçant des activités dans les secteurs couverts.
• Les petites ou microentités ne sont incluses que si elles sont formellement désignées ou si elles exercent des activités dans des secteurs à haute criticité.
• S’applique aux entités établies en Lettonie et, dans certains cas, aux prestataires numériques étrangers desservant le marché letton.

Les PME doivent évaluer leur éligibilité au regard du cadre national de cybersécurité de la Lettonie en fonction de la classification sectorielle et des seuils légaux.

2. Aperçu de la mise en œuvre de NIS2 en Lettonie

La Lettonie a transposé la Directive par la nouvelle Loi nationale sur la cybersécurité (Nacionālās kiberdrošības likums), adoptée par le Saeima le 20 juin 2024, signée le 4 juillet 2024 et en vigueur depuis le 1er septembre 2024 — abrogeant et remplaçant intégralement l'ancienne Loi sur la sécurité des technologies de l'information (il s'agit d'une nouvelle loi, et non d'une modification).

La législation secondaire a été complétée par le Règlement du Conseil des ministres n° 397 relatif aux exigences minimales de cybersécurité, en vigueur depuis le 2 juillet 2025.

Les spécificités nationales comprennent la nomination obligatoire d'un responsable de la cybersécurité, une classification des systèmes en trois niveaux (A renforcé / B basique / C minimal) et une obligation de revue annuelle de sécurité TIC au titre de l'article 25. L'avis motivé de la Commission européenne de mai 2025 a été résolu à la suite de l'adoption du Règlement n° 397.

3. Champ d'application en Lettonie

Le champ d'application de la Lettonie reflète les catégories sectorielles minimales de la directive sans extension structurelle confirmée.

4. Seuils de taille et applicabilité aux PME en Lettonie

Les seuils de base s'appliquent :

• ≥50 employés, et
• ≥€10 million de chiffre d'affaires annuel ou de total de bilan.

Les entités qui satisfont aux deux critères dans les secteurs couverts sont automatiquement incluses dans le champ d'application.

Les petites et microentreprises peuvent être désignées si elles sont considérées comme critiques pour la sécurité nationale, la stabilité économique ou la continuité des services essentiels.

Les autorités lettones conservent des pouvoirs formels de désignation lorsque le risque systémique justifie l'inclusion.

5. Cadre de classification des entités en Lettonie

Les entités sont catégorisées comme suit :

• Entités essentielles — Soumises à une supervision proactive, incluant des inspections et un suivi de conformité structuré.
• Entités importantes — Principalement soumises à une supervision réactive déclenchée par des incidents significatifs ou des préoccupations en matière de conformité.

La classification est déterminée par le secteur et la taille. Les autorités peuvent reclasser des entités lorsque l'impact opérationnel ou l'exposition au risque justifie une supervision renforcée.

La Lettonie applique la structure de supervision à deux niveaux de la Directive.

6. Exigences de gestion des risques de cybersécurité en Lettonie

Le régime national de la Lettonie est aligné sur le socle de la Directive en matière de gestion des risques de cybersécurité. Les entités concernées doivent mettre en œuvre des mesures techniques et organisationnelles proportionnées couvrant :

• Analyse des risques et protection des systèmes
• Détection et réponse aux incidents
• Continuité d'activité et gestion de crise
• Contrôles des risques de la chaîne d'approvisionnement NIS2 en Lettonie
• Acquisition et développement sécurisés des systèmes TIC
• Contrôle d'accès et gestion des identités
• Chiffrement et protections cryptographiques
• Procédures de gestion des vulnérabilités
• Formation du personnel à la cybersécurité

Les mesures doivent refléter des normes à l'état de l'art et l'exposition aux risques de l'organisation. L'alignement sur ISO/IEC 27001 et les orientations lettonnes en matière de cybersécurité est encouragé.

7. Responsabilité de la direction et gouvernance en Lettonie

Les organes de direction doivent approuver formellement les mesures de gestion des risques de cybersécurité et en superviser la mise en œuvre.

Dans le cadre letton :

• Les conseils sont responsables de la supervision de la conformité.
• La haute direction doit garantir une compétence suffisante en cybersécurité et nommer formellement un responsable de la cybersécurité, avec notification au NCSC (échéance 1er octobre 2025 — dépassée).
• Des sanctions administratives peuvent réprimer les manquements en matière de gouvernance.
• La suspension temporaire des fonctions d'encadrement peut être prévue dans le cadre de mécanismes d'exécution conformes à la Directive.

Les attentes de NIS2 relatives à la responsabilité de la direction en Lettonie élèvent la gouvernance de la cybersécurité au rang de responsabilité au niveau exécutif.

8. Obligations de notification des incidents en Lettonie

9. Autorités de supervision et modèle d'application en Lettonie

Autorité principale de supervision : Centre national de cybersécurité (NCSC), dont les fonctions sont exercées par le ministère de la Défense en coopération avec CERT.LV ; le NCSC agit comme point de contact unique, supervise la mise en œuvre et élabore la politique nationale de cybersécurité. CERT.LV est le CSIRT national pour la réponse aux incidents. Le Bureau de protection de la Constitution supervise les propriétaires d'infrastructures TIC critiques.

La Lettonie applique un modèle de supervision coordonné sous l'égide du NCSC ; CERT.LV gère la réponse aux incidents ; le Bureau de protection de la Constitution supervise les infrastructures TIC critiques. Le NCSC peut mener des inspections, ordonner des mesures correctives, émettre des avertissements, suspendre des services et imposer des sanctions.

Les pouvoirs de supervision comprennent :

• Demandes de documentation et d'informations
• Audits de sécurité
• Inspections sur site
• Instructions de conformité contraignantes
• Participation aux mécanismes de coordination de la cybersécurité de l'UE

La structure d'application est conforme aux exigences de coopération au niveau de la directive.

10. Amendes et sanctions NIS2 en Lettonie

La Lettonie applique des sanctions administratives conformes à la directive.

Au-delà des sanctions financières, les autorités peuvent imposer des mesures d'exécution supplémentaires :

• Divulgation publique de la non-conformité
• Instructions contraignantes avec délais
• Suspension temporaire des certifications
• Interdictions temporaires de gestion pour les entités essentielles

11. Sécurité de la chaîne d'approvisionnement et des fournisseurs au titre de NIS2 en Lettonie

Les entités doivent gérer l'exposition aux risques de cybersécurité des tiers au moyen de :

• Évaluations des risques fournisseurs
• Clauses contractuelles de répercussion des exigences de sécurité
• Surveillance continue des fournisseurs TIC
• Analyse du risque de concentration
• Atténuation de la propagation des incidents

L'approche de la Lettonie est conforme aux attentes minimales de la Directive concernant la gestion des risques fournisseurs.

12. Obligations d'enregistrement et d'auto-identification en Lettonie

Les entités entrant dans le champ d'application doivent :

• S'enregistrer auprès du Centre national de cybersécurité (NCSC) ; l'échéance initiale d'enregistrement du 1er avril 2025 est dépassée ; les entités acquérant le statut d'entité concernée par la suite doivent en informer le NCSC dans un délai d'un mois. Une autoévaluation est disponible via l'outil de test NCL en ligne du ministère de la Défense.
• Fournir les données d'identification de l'entreprise
• Déclarer la classification sectorielle et classer tous les systèmes d'information en trois catégories de sécurité : A (renforcée), B (basique) ou C (minimale).
• Maintenir à jour les contacts pour notifications

Le Règlement du Conseil des ministres n° 397 (en vigueur depuis le 2 juillet 2025) définit les mesures techniques et organisationnelles minimales selon la classification de sécurité du système. Les entités doivent tenir à jour un catalogue de ressources TIC couvrant les systèmes d'information, l'architecture et les produits et services basés sur les TIC.

L'auto-identification est obligatoire. Le premier rapport d'autoévaluation devait être remis au NCSC au plus tard le 1er octobre 2025 (dépassé). Par la suite, des revues annuelles de sécurité TIC sont requises au titre de l'article 25, avec rectification formelle des déficiences identifiées.

13. Articulation avec le RGPD et d'autres lois en Lettonie

Le Règlement général sur la protection des données continue de s'appliquer en parallèle.

Les points de recoupement comprennent :

• Notification d'une violation de données à caractère personnel dans un délai de 72 heures
• Coordination avec l'autorité de contrôle
• Enquêtes parallèles en cybersécurité et en protection des données
• Législation lettone en cybersécurité spécifique à certains secteurs

Un incident cyber peut déclencher des obligations de notification au titre des deux régimes.

14. Applicabilité transfrontalière

Les entités dont l'établissement principal se trouve en Lettonie sont supervisées par les autorités lettones pour les services transfrontaliers.

Les prestataires de services numériques étrangers offrant des services en Lettonie peuvent être soumis à des obligations nationales selon la structure d'établissement.

Les exigences en matière de représentation suivent les normes de la directive pour les prestataires non-UE desservant le marché letton.

15. Calendrier de mise en œuvre en Lettonie

• Adoption de la Directive : 2022
• Modifications législatives nationales : Loi nationale sur la cybersécurité adoptée le 20 juin 2024, signée le 4 juillet 2024 ; Règlement n° 397 en vigueur depuis le 2 juillet 2025.
• Entrée en vigueur : 1er septembre 2024 (LNC) ; 2 juillet 2025 (Règlement n° 397).
• Notification à la Commission : Avis motivé de la CE du 7 mai 2025 pour législation secondaire incomplète — résolu à la suite de l'adoption du Règlement n° 397.
• Jalons de conformité : enregistrement des entités 1er avril 2025 (dépassé) ; nomination du responsable de cybersécurité 1er octobre 2025 (dépassé) ; premier rapport d'autoévaluation 1er octobre 2025 (dépassé) ; revues annuelles de sécurité TIC en cours.

La transposition est complète (1er septembre 2024) et la législation secondaire finalisée (2 juillet 2025). Toutes les échéances initiales sont dépassées ; les revues annuelles de sécurité TIC constituent une obligation continue.

16. Points clés pour les PME en Lettonie

• Les entités de taille moyenne dans les secteurs couverts sont automatiquement dans le champ d'application.
• Les petites entités peuvent être désignées si elles sont critiques pour la stabilité nationale ou économique.
• La supervision de la gouvernance au niveau du conseil est obligatoire ; les entités doivent nommer un responsable de la cybersécurité et le notifier au NCSC (échéance 1er octobre 2025 — dépassée).
• Les notifications d'incidents suivent les échéances 24h / 72h / 1 mois.
• Les sanctions financières peuvent atteindre 10 millions d'€ ou 2 % du chiffre d'affaires mondial.
• La gestion des risques fournisseurs est obligatoire.
• Toutes les échéances initiales sont dépassées (enregistrement 1er avril 2025 ; responsable de cybersécurité et première autoévaluation 1er octobre 2025) ; classer les systèmes A/B/C, appliquer les minimums du Règlement n° 397 et maintenir les revues annuelles de sécurité TIC.

FAQ : Guide NIS2 pour les PME en Lettonie