NIS2 en Croatie

1. Aperçu rapide de l’applicabilité aux PME en Croatie

La NIS2 s'applique-t-elle aux PME en 1. Aperçu rapide de l’applicabilité aux PME en Croatie ?

Oui — selon le secteur et la taille.

• Applicabilité automatique aux entités de taille moyenne (≥50 employés et ≥€10 million de chiffre d'affaires ou de total de bilan) exerçant des activités dans les secteurs couverts.
• Les petites ou microentités ne sont incluses que si elles sont formellement désignées ou si elles exercent des activités dans des secteurs à haute criticité.
• S’applique aux entités établies en Croatie et, dans certains cas, aux prestataires numériques étrangers offrant des services en Croatie.

Les PME devraient évaluer si elles relèvent du régime national de cybersécurité de la Croatie en fonction du secteur et des seuils de taille.

2. Aperçu de la mise en œuvre de NIS2 en Croatie

La Croatie met en œuvre NIS2 par des amendements au Cybersecurity Act, qui régit la sécurité des réseaux et des systèmes d’information au niveau national.

Le cadre statutaire mis à jour aligne le régime de la Croatie sur la directive (UE) 2022/2555, en étendant la couverture sectorielle, en renforçant la responsabilité de gouvernance et en formalisant les obligations de notification.

La législation modernise les pouvoirs de supervision et les structures de sanctions administratives conformément à la directive.

3. Champ d’application en Croatie

Le périmètre de la Croatie reflète les catégories minimales de la directive sans expansion structurelle confirmée.

4. Seuils de taille et applicabilité aux PME en Croatie

Les seuils de base s'appliquent :

• ≥50 employés, et
• ≥€10 million de chiffre d'affaires annuel ou de total de bilan.

Les entités remplissant les deux critères au sein des secteurs couverts sont automatiquement dans le périmètre.

Les petites et micro-entreprises peuvent être désignées si elles sont considérées comme critiques pour la sécurité publique, la stabilité économique ou le fonctionnement de la société.

Les autorités croates conservent des pouvoirs formels de désignation lorsque l’exposition au risque justifie l’inclusion.

5. Cadre de classification des entités en Croatie

Les entités sont classées comme suit :

• Entités essentielles — Soumises à une supervision proactive, y compris des inspections et un suivi structuré de la conformité.
• Entités importantes — Principalement soumises à une supervision réactive, déclenchée par des incidents significatifs ou des préoccupations de conformité.

La classification est déterminée par le secteur et la taille. Les autorités compétentes peuvent reclasser des entités lorsque l’impact opérationnel ou le risque systémique justifie une surveillance plus stricte.

La Croatie suit le modèle de supervision à deux niveaux de la directive.

6. Exigences de gestion des risques de cybersécurité en Croatie

Le régime national croate s’aligne sur les obligations de base de la directive. Les entités concernées doivent mettre en œuvre des mesures techniques et organisationnelles proportionnées couvrant :

• Analyse des risques et protection des systèmes
• Détection et réponse aux incidents
• Continuité d’activité et gestion de crise
• Contrôles des risques de chaîne d’approvisionnement NIS2 en Croatie
• Acquisition et développement sécurisés des systèmes TIC
• Mesures de contrôle d’accès et d’authentification
• Chiffrement et protection cryptographique
• Procédures de gestion des vulnérabilités
• Formation cybersécurité du personnel

Les mesures doivent refléter l’état de l’art et le profil de risque de l’entité. L’alignement sur ISO/IEC 27001 et les orientations croates reconnues en cybersécurité est encouragé.

La gestion des risques de la chaîne d’approvisionnement inclut la diligence raisonnable des prestataires et des exigences contractuelles en matière de cybersécurité.

7. Responsabilité de la direction et gouvernance en Croatie

Les organes de direction doivent approuver formellement les mesures de gestion des risques de cybersécurité et en superviser la mise en œuvre.

Dans le cadre croate :

• Les conseils d’administration sont responsables d’assurer la conformité.
• La haute direction doit maintenir une sensibilisation adéquate à la cybersécurité.
• Des sanctions administratives peuvent viser des défaillances de gouvernance.
• La suspension temporaire des fonctions managériales peut être disponible au titre de mécanismes d’exécution alignés sur la directive.

Les standards de responsabilité de la direction NIS2 en Croatie élèvent la cybersécurité au rang de responsabilité de niveau exécutif.

8. Obligations de notification d’incident en Croatie

9. Autorités de surveillance et modèle d’exécution en Croatie

Autorité de coordination principale : National CERT (CERT.hr).

La Croatie opère un modèle centralisé soutenu par des régulateurs sectoriels le cas échéant.

Supervisory powers include:

• Demandes d’informations
• Audits de sécurité
• Inspections sur site
• Instructions de conformité contraignantes
• Participation aux cadres de coopération en cybersécurité de l’UE

La structure d’exécution s’aligne sur les exigences de coordination prévues par la directive.

10. Sanctions et amendes NIS2 en Croatie

La Croatie applique des sanctions administratives alignées sur la directive.

L’application des amendes NIS2 en Croatie peut également inclure :

• Ordres de remédiation contraignants
• Identification publique des entités non conformes
• Suspension de certifications ou d’autorisations
• Pouvoirs de suspension des fonctions managériales

La responsabilité pénale ne s’applique que lorsqu’elle est expressément prévue par la législation croate.

11. Sécurité de la chaîne d’approvisionnement et des fournisseurs NIS2 en Croatie

Les entités doivent gérer l’exposition au risque de cybersécurité lié aux tiers au moyen de :

• Évaluations des risques des prestataires
• Dispositions contractuelles de sécurité applicables aux sous-traitants
• Surveillance continue des fournisseurs TIC
• Analyse du risque de concentration
• Contrôles de propagation des incidents

L’approche de la Croatie s’aligne sur les attentes de base de la directive en matière de chaîne d’approvisionnement, sans extension nationale confirmée.

12. Obligations d’enregistrement et d’auto-identification en Croatie

Entities within scope must:

• S’enregistrer auprès des autorités compétentes
• Fournir les informations d’identification de l’entreprise
• Déclarer la classification sectorielle
• Maintenir à jour les contacts de notification d’incident

Les délais procéduraux suivent le cadre d’exécution de la Croatie. À l’état actuel de la transposition, la Croatie suit le cadre de base de la directive NIS2. Les détails nationaux d’exécution peuvent affiner certaines obligations.

L’auto-identification est obligatoire pour les entités répondant aux critères légaux.

13. Interaction avec le GDPR et autres lois en Croatie

Le GDPR continue de s’appliquer parallèlement.

Les considérations de chevauchement incluent :

• Obligations de notification de violation de données personnelles sous 72 heures
• Coordination des autorités de contrôle
• Enquêtes parallèles en cybersécurité et en protection des données
• Règles croates sectorielles en matière de cybersécurité

Un incident unique peut déclencher une double notification au titre des deux régimes.

14. Applicabilité transfrontalière

Les entités dont l’établissement principal est en Croatie sont supervisées par les autorités croates pour les services transfrontaliers.

Les prestataires numériques étrangers offrant des services en Croatie peuvent être soumis à la supervision croate selon la structure d’établissement.

Les exigences de représentation suivent les standards de la directive pour les prestataires non européens desservant les marchés croates.

15. Calendrier de mise en œuvre en Croatie

• Adoption de la Directive : 2022
• Amendements législatifs nationaux : 2024–2025
• Entrée en vigueur : À la publication nationale
• Notification à la Commission : Conformément aux procédures de l’UE
• Jalon de conformité : Échéances alignées sur la directive

Le calendrier de transposition de la Croatie s’aligne sur les exigences de mise en œuvre de l’UE.

16. Points clés pour les PME en Croatie

• Les entités de taille moyenne dans les secteurs couverts sont automatiquement dans le périmètre.
• Les petites entités peuvent être désignées si elles sont critiques pour la stabilité publique ou économique.
• La supervision au niveau du conseil est obligatoire.
• La notification des incidents suit les délais 24h / 72h / 1 mois.
• Les sanctions financières peuvent atteindre €10 million ou 2% du chiffre d’affaires mondial.
• La gestion du risque fournisseur est requise.
• Une préparation précoce à la conformité réduit le risque d’exécution.

FAQ : Guide NIS2 Croatie pour les PME