NIS2 en Lituanie

1. Aperçu rapide de l'applicabilité aux PME en Lituanie

La NIS2 s'applique-t-elle aux PME en 1. Aperçu rapide de l'applicabilité aux PME en Lituanie ?

Oui — selon le secteur et la taille.

• Applicabilité automatique aux entités de taille moyenne (≥50 employés et ≥€10 million de chiffre d'affaires ou de total de bilan) exerçant des activités dans les secteurs couverts.
• Les petites ou microentités ne sont incluses que si elles sont formellement désignées ou si elles exercent des activités dans des secteurs à haute criticité.
• S'applique aux entités établies en Lituanie et, dans certains cas, aux prestataires numériques étrangers desservant le marché lituanien.

Les PME doivent évaluer leur éligibilité au titre du cadre national lituanien de cybersécurité en fonction de la classification sectorielle et des seuils légaux.

2. Vue d'ensemble de la mise en œuvre de la directive NIS2 en Lituanie

La Lituanie met en œuvre la directive par des modifications de la loi sur la cybersécurité, qui constitue la base du régime national de cybersécurité.

La législation révisée aligne le cadre lituanien sur la directive (UE) 2022/2555 et renforce les obligations en matière de gouvernance, de gestion des risques, de notification des incidents et des pouvoirs des autorités de contrôle.

La loi mise à jour intègre les normes de la directive dans la structure existante de surveillance de la cybersécurité en Lituanie.

3. Champ d’application en Lituanie

Le champ d’application de la Lituanie reflète les catégories sectorielles minimales prévues par la directive, sans extension structurelle confirmée.

4. Seuils de taille et applicabilité aux PME en Lituanie

Les seuils de base s'appliquent :

• ≥50 employés, et
• ≥€10 million de chiffre d'affaires annuel ou de total de bilan.

Les entités remplissant les deux critères au sein des secteurs couverts entrent automatiquement dans le champ d’application.

Les petites et micro-entreprises peuvent être désignées si elles sont jugées critiques pour la sécurité nationale, la stabilité économique ou la continuité des services essentiels.

Les autorités lituaniennes conservent des pouvoirs formels de désignation lorsque le risque systémique justifie l’inclusion.

5. Cadre de classification des entités en Lituanie

Les entités sont classées comme suit :

• Entités essentielles — Soumises à une supervision proactive, incluant des inspections et un suivi de conformité structuré.
• Entités importantes — Principalement soumises à une supervision réactive déclenchée par des incidents significatifs ou des préoccupations de conformité.

La classification est déterminée par le secteur et la taille. Les autorités peuvent reclasser des entités lorsque l'impact opérationnel ou l'exposition au risque justifie une supervision renforcée.

La Lituanie applique la structure de supervision à deux niveaux prévue par la directive.

6. Exigences de gestion des risques de cybersécurité en Lituanie

Le régime national de la Lituanie est aligné sur le socle de la directive en matière de gestion des risques de cybersécurité. Les entités concernées doivent mettre en œuvre des mesures techniques et organisationnelles proportionnées couvrant :

• Analyse des risques et protection des systèmes
• Détection et réponse aux incidents
• Continuité d'activité et gestion de crise
• Contrôles des risques liés à la chaîne d'approvisionnement NIS2 en Lituanie
• Acquisition et développement sécurisés des systèmes TIC
• Contrôle d'accès et gestion des identités
• Chiffrement et mesures cryptographiques
• Procédures de gestion des vulnérabilités
• Formation du personnel à la cybersécurité

Les mesures doivent refléter l'état de l'art et l'exposition aux risques de l'organisation. L'alignement sur la norme ISO/IEC 27001 et les lignes directrices lituaniennes en matière de cybersécurité est encouragé.

La surveillance de la chaîne d'approvisionnement inclut la diligence raisonnable des fournisseurs et des garanties contractuelles en matière de cybersécurité.

7. Responsabilité des organes de direction et gouvernance en Lituanie

Les organes de direction doivent approuver formellement les mesures de gestion des risques en matière de cybersécurité et en superviser la mise en œuvre.

Dans le cadre juridique lituanien :

• Les conseils d'administration sont responsables de la surveillance de la conformité.
• La haute direction doit s'assurer de compétences suffisantes en cybersécurité.
• Des sanctions administratives peuvent viser des défaillances de gouvernance.
• La suspension temporaire de fonctions de direction peut être prévue dans le cadre de mécanismes d'exécution alignés sur la directive.

Les attentes lituaniennes en matière de responsabilité des organes de direction au titre de NIS2 élèvent la gouvernance de la cybersécurité au rang de responsabilité au niveau de la direction exécutive.

8. Obligations de notification des incidents en Lituanie

9. Autorités de contrôle et modèle d’application en Lituanie

Autorité principale : National Cyber Security Centre (NCSC Lithuania).

La Lituanie applique un modèle de contrôle centralisé coordonné par le NCSC, avec l’intervention de régulateurs sectoriels lorsque nécessaire.

Les pouvoirs de contrôle comprennent :

• Demandes de documentation et d’informations
• Audits de sécurité
• Inspections sur site
• Instructions de conformité contraignantes
• Participation aux mécanismes de coordination de l’EU en matière de cybersécurité

La structure d’application est alignée sur les exigences de coopération au niveau de la directive.

10. Amendes et sanctions NIS2 en Lituanie

La Lituanie applique des sanctions administratives alignées sur la directive.

Les mesures d'exécution de NIS2 en Lituanie peuvent également inclure :

• Injonctions correctives contraignantes
• Identification publique des entités non conformes
• Suspension des autorisations ou des certifications
• Pouvoirs de suspension des dirigeants

La responsabilité pénale ne s'applique que lorsqu'elle est explicitement prévue par la législation lituanienne.

11. Sécurité de la chaîne d'approvisionnement et des fournisseurs au titre de NIS2 en Lituanie

Les entités doivent gérer l'exposition aux risques de cybersécurité liés aux tiers au moyen de :

• Évaluations des risques fournisseurs
• Dispositions contractuelles imposant la reprise des exigences de sécurité
• Surveillance continue des fournisseurs TIC
• Analyse du risque de concentration
• Atténuation de la propagation des incidents

L'approche de la Lituanie est conforme aux attentes de base de la directive en matière de gestion des risques fournisseurs.

12. Obligations d'enregistrement et d'auto-identification en Lituanie

Les entités relevant du champ d'application doivent :

• S'enregistrer auprès des autorités compétentes
• Fournir les informations d'identification de l'entreprise
• Déclarer la classification sectorielle
• Maintenir à jour les contacts de notification

Les délais procéduraux suivent le cadre de mise en œuvre de la Lituanie. À ce stade de la transposition, la Lituanie suit le cadre de base de la NIS2 Directive. Les détails nationaux de mise en œuvre peuvent préciser certaines obligations.

L'auto-identification est obligatoire lorsque les entités atteignent les seuils prévus par la loi.

13. Interaction avec le GDPR et d'autres lois en Lituanie

Le General Data Protection Regulation continue de s'appliquer concomitamment.

Les considérations de recoupement comprennent :

• Notification d'une violation de données à caractère personnel dans les 72 heures
• Coordination avec l'autorité de contrôle

14. Applicabilité transfrontalière

Les entités dont l’établissement principal se situe en Lituanie sont supervisées par les autorités lituaniennes pour les services transfrontaliers.

Les prestataires numériques étrangers offrant des services en Lituanie peuvent être soumis à des obligations nationales selon la structure de leur établissement.

Les exigences de représentation suivent les normes de la directive pour les prestataires non-EU desservant le marché lituanien.

15. Calendrier de mise en œuvre en Lituanie

• Adoption de la Directive : 2022
• Modifications législatives nationales: 2024–2025
• Entrée en vigueur: Dès la publication nationale
• Notification à la Commission: Conformément aux procédures de l'EU
• Jalon de conformité: Échéances alignées sur la directive

Le calendrier de transposition de la Lituanie est aligné sur les exigences de mise en œuvre de l'EU.

16. Points clés pour les PME en Lituanie

• Les entités de taille moyenne dans les secteurs couverts sont automatiquement incluses dans le champ d'application.
• Les petites entités peuvent être désignées si elles sont critiques pour la stabilité nationale ou économique.
• La supervision de la gouvernance au niveau du conseil d'administration est obligatoire.
• La notification des incidents suit des délais de 24h / 72h / 1 mois.
• Les sanctions financières peuvent atteindre €10 million ou 2 % du chiffre d'affaires mondial.
• La gestion des risques liés aux fournisseurs est requise.
• Une planification précoce de la conformité réduit l'exposition aux sanctions.

FAQ : Guide NIS2 pour les PME en Lituanie