NIS2 en Slovaquie

1. Aperçu rapide de l'applicabilité pour les SMEs en Slovakia

La NIS2 s'applique-t-elle aux PME en 1. Aperçu rapide de l'applicabilité pour les SMEs en Slovakia ?

Oui — selon le secteur et la taille.

• Applicabilité automatique aux entités de taille moyenne (≥50 employés et ≥€10 million de chiffre d'affaires ou de total de bilan) exerçant des activités dans les secteurs couverts.
• Les petites ou microentités ne sont incluses que si elles sont formellement désignées ou si elles exercent des activités dans des secteurs à haute criticité.
• S'applique aux entités établies en Slovakia et, dans certains cas, aux prestataires numériques étrangers desservant le marché slovaque.

Les SMEs devraient évaluer leur éligibilité au regard du cadre national de cybersécurité de Slovakia en fonction de la classification sectorielle et des seuils légaux.

2. Aperçu de la mise en oeuvre de NIS2 en Slovakia

Slovakia met en oeuvre la Directive au moyen d'amendements à la Act on Cybersecurity, qui constitue la base du régime national de cybersécurité.

La législation révisée aligne le cadre de Slovakia sur la Directive (EU) 2022/2555 et renforce les exigences relatives à la gouvernance, à la gestion des risques en matière de cybersécurité, à la notification des incidents, à la surveillance et au contrôle, ainsi qu'aux sanctions.

La mise en oeuvre s'appuie sur le modèle établi de surveillance de la cybersécurité de Slovakia tout en élargissant le champ d'application conformément aux normes de l'EU.

3. Champ d'application en Slovakia

Le champ d'application de Slovakia reflète les catégories sectorielles minimales de la directive, sans extension structurelle confirmée.

4. Seuils de taille et applicabilité des SME en Slovakia

Les seuils de base s'appliquent :

• ≥50 employés, et
• ≥€10 million de chiffre d'affaires annuel ou de total de bilan.

Les entités remplissant les deux critères dans les secteurs couverts sont automatiquement incluses dans le champ d'application.

Les petites et microentreprises peuvent être désignées si elles sont jugées critiques pour la sécurité nationale, la stabilité économique ou la continuité des services essentiels.

Les autorités slovaques conservent les pouvoirs formels de désignation lorsque le risque systémique justifie l'inclusion.

5. Cadre de classification des entités en Slovakia

Les entités sont classées comme suit :

• Entités essentielles — Soumises à une supervision proactive, incluant des inspections et un suivi de conformité structuré.
• Entités importantes — Principalement soumises à une supervision réactive déclenchée par des incidents significatifs ou des préoccupations de conformité.

La classification est déterminée par le secteur et la taille. Les autorités peuvent reclassifier des entités lorsque l'impact opérationnel ou l'exposition aux risques justifient une surveillance renforcée.

Slovakia suit la structure de surveillance à deux niveaux de la directive.

6. Exigences de gestion des risques de cybersécurité en Slovakia

Le régime national de Slovakia est aligné sur le socle de la directive en matière de gestion des risques de cybersécurité. Les entités concernées doivent mettre en œuvre des mesures techniques et organisationnelles proportionnées portant sur :

• Analyse des risques et protection des systèmes
• Détection des incidents et réponse
• Continuité d'activité et gestion de crise
• Contrôles des risques liés à la chaîne d'approvisionnement NIS2 en Slovakia
• Acquisition et développement sécurisés des systèmes ICT
• Contrôle d'accès et gestion des identités
• Chiffrement et protections cryptographiques
• Procédures de gestion des vulnérabilités
• Formation du personnel à la cybersécurité

Les mesures doivent refléter l'état de l'art et l'exposition aux risques de l'organisation. L'alignement avec ISO/IEC 27001 et les orientations slovaques en matière de cybersécurité est encouragé.

7. Responsabilité des dirigeants et gouvernance en Slovakia

Les organes de direction doivent approuver formellement les mesures de gestion des risques en matière de cybersécurité et en superviser la mise en œuvre.

Selon le cadre de Slovakia :

• Les conseils d'administration sont responsables de la supervision de la conformité.
• La haute direction doit garantir un niveau de compétence suffisant en matière de cybersécurité.
• Des sanctions administratives peuvent viser les défaillances de gouvernance.
• Une suspension temporaire des fonctions de direction peut être prévue dans le cadre de mécanismes d'exécution alignés sur la Directive.

Les attentes relatives à la responsabilité des dirigeants au titre de NIS2 en Slovakia élèvent la gouvernance de la cybersécurité au rang de responsabilité au niveau exécutif.

8. Obligations de notification des incidents en Slovakia

9. Autorités de supervision et modèle d’application en Slovaquie

Autorité principale : National Security Authority (NBÚ).

La Slovaquie met en œuvre un modèle de supervision centralisé coordonné par le NBÚ, avec la participation des régulateurs sectoriels, le cas échéant.

Les pouvoirs de supervision incluent :

• Demandes de documentation et d’informations
• Audits de sécurité
• Contrôles sur place
• Injonctions contraignantes de mise en conformité
• Participation aux mécanismes de coordination de la cybersécurité de l’EU

La structure d’application est alignée sur les exigences de coopération au niveau de la directive.

10. Amendes et sanctions NIS2 en Slovaquie

La Slovaquie applique des sanctions administratives alignées sur la directive.

L'application des amendes NIS2 en Slovakia peut également inclure :

• Injonctions de remédiation exécutoires
• Identification publique des entités non conformes
• Suspension des autorisations ou des certifications
• Pouvoirs de suspension des dirigeants

La responsabilité pénale ne s'applique que lorsqu'elle est explicitement prévue par la législation slovaque.

11. Sécurité de la chaîne d'approvisionnement et des fournisseurs au titre de NIS2 en Slovakia

Les entités doivent gérer l'exposition aux risques de cybersécurité liés aux tiers au moyen de :

• Évaluations des risques fournisseurs
• Dispositions contractuelles imposant les exigences de sécurité aux sous-traitants
• Surveillance continue des fournisseurs ICT
• Analyse du risque de concentration
• Atténuation de la propagation des incidents

L'approche de Slovakia est alignée sur les attentes de base de la Directive en matière de gestion des risques fournisseurs.

12. Obligations d'enregistrement et d'auto-identification en Slovakia

Les entités relevant du champ d'application doivent :

• S'enregistrer auprès des autorités compétentes
• Fournir les informations d'identification de l'entreprise
• Déclarer la classification sectorielle
• Maintenir à jour les contacts de notification

Les délais procéduraux s'alignent sur le cadre de mise en œuvre en Slovakia. Au stade actuel de la transposition, Slovakia suit le cadre de base de la directive NIS2. Des précisions nationales de mise en œuvre peuvent affiner certaines obligations.

L'autodéclaration est obligatoire lorsque les entités atteignent les seuils légaux.

13. Interaction avec le GDPR et d'autres lois en Slovakia

Le General Data Protection Regulation continue de s'appliquer simultanément.

Les points de recoupement incluent :

• Notification d'une violation de données à caractère personnel dans les 72 heures
• Coordination avec les autorités de contrôle

14. Applicabilité transfrontalière

Les entités dont l'établissement principal se trouve en Slovakia sont supervisées par les autorités slovaques pour les services transfrontaliers.

Les prestataires numériques étrangers offrant des services en Slovakia peuvent être soumis à des obligations nationales selon la structure de leur établissement.

Les exigences en matière de représentation suivent les normes de la Directive pour les prestataires non-EU desservant le marché slovaque.

15. Calendrier de mise en œuvre en Slovakia

• Adoption de la Directive : 2022
• Modifications législatives nationales : 2024–2025
• Entrée en vigueur : À la publication nationale
• Notification à la Commission : Conformément aux procédures de l'EU
• Jalon de conformité : Échéances alignées sur la Directive

Le calendrier de transposition de Slovakia est aligné sur les exigences de mise en œuvre de l'EU.

16. Points clés pour les SMEs en Slovakia

• Les entités de taille moyenne dans les secteurs couverts relèvent automatiquement du champ d’application.
• Les petites entités peuvent être désignées si elles sont critiques pour la stabilité nationale ou économique.
• La supervision de la gouvernance au niveau du conseil d’administration est obligatoire.
• La notification des incidents respecte des délais de 24 h / 72 h / 1 mois.
• Les sanctions financières peuvent atteindre 10 millions d’euros ou 2 % du chiffre d’affaires mondial.
• La gestion des risques liés aux fournisseurs est requise.
• Une planification précoce de la conformité réduit l’exposition aux mesures d’exécution.

FAQ : Guide NIS2 pour les PME en Slovaquie