NIS2 en Slovénie

1. Aperçu rapide de l'applicabilité pour les PME en Slovénie

La NIS2 s'applique-t-elle aux PME en 1. Aperçu rapide de l'applicabilité pour les PME en Slovénie ?

Oui — selon le secteur et la taille.

• Applicabilité automatique aux entités de taille moyenne (≥50 employés et ≥€10 million de chiffre d'affaires ou de total de bilan) exerçant des activités dans les secteurs couverts.
• Les petites ou microentités ne sont incluses que si elles sont formellement désignées ou si elles exercent des activités dans des secteurs à haute criticité.
• S'applique aux entités établies en Slovénie et, dans certains cas, aux prestataires numériques étrangers desservant le marché slovène.

Les PME devraient évaluer leur éligibilité au titre du cadre national de cybersécurité de la Slovénie, en fonction de la classification sectorielle et des seuils légaux.

2. Aperçu de la mise en œuvre de NIS2 en Slovénie

La Slovénie a achevé la transposition de NIS2 par la Loi sur la sécurité de l'information (ZInfV-1) (Zakon o informacijski varnosti), une nouvelle loi globale qui remplace la précédente ZInfV (2018). La loi a été adoptée par l'Assemblée nationale le 23 mai 2025, publiée au Journal officiel n° 40/25 le 4 juin 2025 et entrée en vigueur le 19 juin 2025.

La Slovénie a manqué l'échéance initiale de transposition du 17 octobre 2024 ; la Commission européenne a émis un avis motivé le 7 mai 2025, et la transposition a été achevée par procédure d'urgence. ZInfV-1 étend le champ d'application au-delà du minimum prévu par la Directive aux institutions de recherche et d'enseignement supérieur, avec un cadre d'exigences en cybersécurité annexé à la loi et la référence à ISO/IEC 27001 comme norme applicable.

URSIV (Urad Vlade Republike Slovenije za informacijsko varnost — Bureau gouvernemental pour la sécurité de l'information) est l'autorité principale et fait également office de NCC-SI et de point de contact unique national. SI-CERT (exploité par ARNES) est le CSIRT national pour le secteur privé ; SIGOV-CERT traite les entités gouvernementales. Les obligations de gestion des risques s'appliquent selon un calendrier échelonné : 12 mois (jusqu'au 19 juin 2026) pour les entités déjà désignées comme fournisseurs de services essentiels sous la précédente ZInfV, et 18 mois (jusqu'au 19 décembre 2026) pour les autres entités essentielles et importantes.

3. Champ d'application en Slovénie

Le champ d'application de la Slovénie reflète les catégories sectorielles minimales de la directive, sans élargissement structurel confirmé.

4. Seuils de taille et applicabilité aux PME en Slovénie

Les seuils de base s'appliquent :

• ≥50 employés, et
• ≥€10 million de chiffre d'affaires annuel ou de total de bilan.

Les entités qui remplissent les deux critères dans les secteurs couverts relèvent automatiquement du champ d'application.

Les petites et microentreprises peuvent être désignées si elles sont considérées comme critiques pour la sécurité nationale, la stabilité économique ou la continuité des services essentiels.

Les autorités slovènes conservent les pouvoirs formels de désignation lorsque le risque systémique justifie l'inclusion.

5. Cadre de classification des entités en Slovénie

Les entités sont classées comme suit :

• Entités essentielles — Soumises à une supervision proactive, y compris des inspections et un suivi de conformité structuré.
• Entités importantes — Principalement soumises à une supervision réactive déclenchée par des incidents significatifs ou des préoccupations en matière de conformité.

La classification est déterminée par le secteur et la taille. Les autorités peuvent reclasser des entités lorsque l'impact opérationnel ou l'exposition aux risques justifie une supervision renforcée.

Slovenia suit la structure de supervision à deux niveaux de la Directive.

6. Exigences de gestion des risques de cybersécurité en Slovénie

Le régime national de la Slovénie est aligné sur le socle de la directive en matière de gestion des risques de cybersécurité. Les entités concernées doivent mettre en œuvre des mesures techniques et organisationnelles proportionnées couvrant :

• Analyse des risques et protection des systèmes
• Détection et réponse aux incidents
• Continuité d'activité et gestion de crise
• Contrôles des risques de la chaîne d'approvisionnement NIS2 en Slovénie
• Acquisition et développement sécurisés des systèmes TIC
• Contrôle d'accès et gestion des identités
• Chiffrement et protections cryptographiques
• Procédures de gestion des vulnérabilités
• Formation du personnel à la cybersécurité

Les mesures doivent refléter les normes de l’état de l’art et l’exposition aux risques de l’organisation. L’alignement sur ISO/IEC 27001 et les orientations slovènes en matière de cybersécurité est encouragé.

7. Responsabilité des dirigeants et gouvernance en Slovénie

Les organes de direction doivent approuver formellement les mesures de gestion des risques en matière de cybersécurité et en superviser la mise en œuvre.

Dans le cadre slovène :

• Les conseils d'administration sont responsables de la surveillance de la conformité.
• La haute direction doit garantir un niveau de compétence suffisant en matière de cybersécurité.
• Des sanctions administratives peuvent sanctionner les défaillances de gouvernance.
• La suspension temporaire des fonctions de direction peut être prévue dans le cadre de mécanismes d'application alignés sur la directive.

Les attentes de la Slovénie en matière de responsabilité de la direction au titre de NIS2 élèvent la gouvernance de la cybersécurité au rang de responsabilité au niveau de la direction exécutive.

8. Obligations de notification des incidents en Slovénie

9. Autorités de contrôle et modèle d'application en Slovénie

Autorité principale : URSIV (Urad Vlade Republike Slovenije za informacijsko varnost) — Bureau gouvernemental pour la sécurité de l'information. Sous ZInfV-1, URSIV fait également office de Centre national de coordination de la cybersécurité (NCC-SI) et de point de contact unique national. SI-CERT (exploité par ARNES) est le CSIRT national pour le secteur privé ; SIGOV-CERT traite les entités gouvernementales.

La Slovénie applique un modèle de supervision centralisé piloté par URSIV. Les entités essentielles font l'objet d'inspections proactives (ex-ante) et réactives (ex-post), tandis que les entités importantes ne font l'objet que d'inspections réactives. Les entités essentielles doivent faire évaluer leur conformité par un Organisme d'évaluation de la conformité (CAB) accrédité au moins tous les deux ans ; les entités importantes effectuent une auto-évaluation au moins tous les deux ans.

Les pouvoirs de contrôle comprennent :

• Demandes de documents et d'informations
• Audits de sécurité
• Inspections sur place
• Instructions contraignantes en matière de conformité
• Participation aux mécanismes de coordination de la cybersécurité de l'EU

La structure d'application est alignée sur les exigences de coopération au niveau de la directive.

10. Amendes et sanctions NIS2 en Slovénie

La Slovénie applique des sanctions administratives alignées sur la directive.

L'application des amendes NIS2 en Slovénie peut également inclure :

• Ordres contraignants de remédiation
• Identification publique des entités non conformes
• Suspension d'autorisations ou de certifications
• Pouvoirs de suspension des dirigeants
• Inhabilitation de la direction au titre de la Loi slovène sur les sociétés en cas de négligence persistante

11. Sécurité de la chaîne d'approvisionnement et des fournisseurs selon NIS2 en Slovénie

Les entités doivent gérer l'exposition aux risques de cybersécurité liés aux tiers au moyen de :

• Évaluations des risques fournisseurs
• Dispositions contractuelles de transfert des exigences de sécurité
• Surveillance continue des fournisseurs de TIC
• Analyse du risque de concentration
• Atténuation de la propagation des incidents

L'approche de la Slovénie est conforme aux attentes de base de la directive concernant la gestion des risques liés aux fournisseurs.

12. Obligations d'enregistrement et d'auto-identification en Slovénie

Les entités relevant du champ d'application doivent :

• S'enregistrer auprès d'URSIV — les entités déjà dans le champ d'application au 19 juin 2025 avaient un délai d'enregistrement au 19 décembre 2025 (6 mois après l'entrée en vigueur, désormais expiré) ; les nouvelles entités doivent s'enregistrer dans les 30 jours suivant leur entrée dans le champ d'application ; l'enregistrement initial s'effectue par envoi numérique d'informations à URSIV en attendant le lancement d'une plateforme formelle d'auto-enregistrement
• Fournir les données d'identification de l'entreprise
• Déclarer la classification sectorielle
• Maintenir à jour les contacts de notification

ZInfV-1 impose aux entités la mise en œuvre d'un Système de gestion de la sécurité de l'information (ISMS) et d'un Système de gestion de la continuité d'activité (BCMS) documentés, incluant analyse de risques, plans de réponse aux incidents, plans de continuité d'activité et plans de reprise des systèmes. Les mesures de gestion des risques des articles 21 et 22 doivent être mises en œuvre d'ici le 19 juin 2026 (entités déjà désignées comme fournisseurs de services essentiels sous la précédente ZInfV / 12 mois) et le 19 décembre 2026 (autres entités essentielles et importantes / 18 mois).

L'auto-identification est obligatoire lorsque les entités atteignent les seuils légaux. La certification ISO/IEC 27001 (par un organisme accrédité par SA) est expressément citée comme norme applicable et peut être utilisée pour les évaluations de conformité ; les entités essentielles doivent faire évaluer leur conformité par un Organisme d'évaluation de la conformité (CAB) accrédité au moins tous les deux ans.

13. Interaction avec le GDPR et d'autres lois en Slovénie

Le General Data Protection Regulation continue de s'appliquer en parallèle.

Les considérations de chevauchement incluent :

• Notification d'une violation de données à caractère personnel dans les 72 heures
• Coordination des autorités de contrôle

14. Applicabilité transfrontalière

Les entités dont l'établissement principal est en Slovénie sont supervisées par les autorités slovènes pour les services transfrontaliers.

Les prestataires numériques étrangers offrant des services en Slovénie peuvent être soumis à des obligations nationales selon la structure de leur établissement.

Les exigences en matière de représentation suivent les normes de la directive pour les prestataires non-UE desservant le marché slovène.

15. Calendrier de mise en œuvre en Slovénie

• Adoption de la Directive : 2022
• Adoption de la Directive : 2022
• Législation nationale : Loi sur la sécurité de l'information (ZInfV-1) adoptée le 23 mai 2025 ; publiée au Journal officiel n° 40/25 le 4 juin 2025 ; adoptée par procédure d'urgence à la suite de l'avis motivé de la CE du 7 mai 2025
• Entrée en vigueur : 19 juin 2025 (15 jours après la publication) ; ZInfV-1 remplace la précédente ZInfV (2018)
• Notification à la Commission : Avis motivé de la CE du 7 mai 2025 pour défaut de notification ; résolu suite à l'adoption et l'entrée en vigueur le 19 juin 2025
• Jalons de conformité : Délai d'enregistrement auprès d'URSIV (entités dans le champ d'application au 19 juin 2025) — 19 décembre 2025 (expiré) ; enregistrement des nouvelles entités — 30 jours à compter de leur entrée dans le champ d'application ; mesures de gestion des risques (fournisseurs de services essentiels sous la précédente ZInfV) — 19 juin 2026 ; mesures de gestion des risques (autres entités essentielles/importantes) — 19 décembre 2026 ; cycle d'évaluation de la conformité — au moins tous les 2 ans

La Slovénie a achevé la transposition de NIS2 le 19 juin 2025. Le délai d'enregistrement auprès d'URSIV du 19 décembre 2025 est expiré — les entités non encore enregistrées doivent agir immédiatement. Les délais de mise en œuvre de la gestion des risques courent jusqu'en juin et décembre 2026, et des évaluations de conformité sont requises au moins tous les deux ans à compter de la désignation.

16. Points clés pour les PME en Slovénie

• Les entités de taille moyenne dans les secteurs couverts sont automatiquement dans le champ ; ZInfV-1 est en vigueur depuis le 19 juin 2025, et le champ d'application de la Slovénie s'étend au-delà du minimum prévu par la Directive aux institutions de recherche et d'enseignement supérieur.
• Les petites entités peuvent être désignées si elles sont critiques pour la stabilité nationale ou économique.
• La supervision au niveau du conseil d'administration est obligatoire.
• La notification d'incidents suit les délais 24h / 72h / 1 mois ; les rapports sont soumis à URSIV et au CSIRT national compétent — SI-CERT (secteur privé) ou SIGOV-CERT (entités gouvernementales).
• Les sanctions financières peuvent atteindre 10 millions d'euros ou 2 % du chiffre d'affaires mondial.
• La gestion des risques liés aux fournisseurs est obligatoire.
• Le délai d'enregistrement auprès d'URSIV (19 décembre 2025) est expiré — s'enregistrer immédiatement si ce n'est pas déjà fait ; les mesures de gestion des risques doivent être mises en œuvre d'ici le 19 juin 2026 (entités essentielles sous la précédente ZInfV) ou le 19 décembre 2026 (autres) ; ZInfV-1 exige un ISMS et un BCMS documentés alignés sur ISO/IEC 27001 ; les entités essentielles doivent faire évaluer leur conformité par un CAB accrédité au moins tous les deux ans.

FAQ : Guide NIS2 Slovénie pour les PME