NIS2 en Lituanie

1. Aperçu rapide de l'applicabilité aux PME en Lituanie

La NIS2 s'applique-t-elle aux PME en 1. Aperçu rapide de l'applicabilité aux PME en Lituanie ?

Oui — selon le secteur et la taille.

• Applicabilité automatique aux entités de taille moyenne (≥50 employés et ≥€10 million de chiffre d'affaires ou de total de bilan) exerçant des activités dans les secteurs couverts.
• Les petites ou microentités ne sont incluses que si elles sont formellement désignées ou si elles exercent des activités dans des secteurs à haute criticité.
• S'applique aux entités établies en Lituanie et, dans certains cas, aux prestataires numériques étrangers desservant le marché lituanien.

Les PME doivent évaluer leur éligibilité au titre du cadre national lituanien de cybersécurité en fonction de la classification sectorielle et des seuils légaux.

2. Vue d'ensemble de la mise en œuvre de la directive NIS2 en Lituanie

La Lituanie a transposé NIS2 par une modification (Loi XIV-2902) de la Loi sur la cybersécurité de la République de Lituanie (n° XII-1428), adoptée le 11 juillet 2024 et en vigueur depuis le 18 octobre 2024. La Résolution gouvernementale sur la mise en œuvre complémentaire — établissant les exigences de cybersécurité applicables aux entités essentielles et importantes — est entrée en vigueur le 12 novembre 2024.

Le cadre aligne le régime lituanien sur la directive (UE) 2022/2555 et introduit plusieurs spécificités nationales : la Lituanie élargit le champ d'application au-delà de la directive pour inclure l'administration publique locale, les entités engagées dans la recherche et le développement expérimental critique (potentiellement y compris certaines universités) et les fournisseurs de services d'hébergement d'informations électroniques. Les entités doivent désigner un responsable de la cybersécurité chargé de la mise en œuvre et de la conformité, et il n'existe aucune obligation d'auto-enregistrement — le NCSC identifie et notifie directement les entités.

Les entités notifiées disposent de 12 mois à compter de la notification pour mettre en œuvre les mesures organisationnelles et de 24 mois pour les mesures techniques. Le NCSC a notifié le registre initial de 1 443 entités de cybersécurité autour du 17 avril 2025.

3. Champ d’application en Lituanie

Le champ d'application de la Lituanie dépasse le minimum de la directive. La loi s'étend explicitement à l'administration publique locale, aux entités engagées dans des activités critiques de recherche et de développement expérimental (pouvant inclure certaines universités) et aux fournisseurs de services d'hébergement d'informations électroniques — aucun de ces éléments n'est requis par la directive.

4. Seuils de taille et applicabilité aux PME en Lituanie

Les seuils de base s'appliquent :

• ≥50 employés, et
• ≥€10 million de chiffre d'affaires annuel ou de total de bilan.

Les entités remplissant les deux critères au sein des secteurs couverts entrent automatiquement dans le champ d’application.

Les petites et micro-entreprises peuvent être désignées si elles sont jugées critiques pour la sécurité nationale, la stabilité économique ou la continuité des services essentiels.

Les autorités lituaniennes conservent des pouvoirs formels de désignation lorsque le risque systémique justifie l’inclusion.

5. Cadre de classification des entités en Lituanie

Les entités sont classées comme suit :

• Entités essentielles — Soumises à une supervision proactive, incluant des inspections et un suivi de conformité structuré.
• Entités importantes — Principalement soumises à une supervision réactive déclenchée par des incidents significatifs ou des préoccupations de conformité.

La classification est déterminée par le secteur et la taille. Les autorités peuvent reclasser des entités lorsque l'impact opérationnel ou l'exposition au risque justifie une supervision renforcée.

La Lituanie applique la structure de supervision à deux niveaux prévue par la directive.

6. Exigences de gestion des risques de cybersécurité en Lituanie

Le régime national de la Lituanie est aligné sur le socle de la directive en matière de gestion des risques de cybersécurité. Les entités concernées doivent mettre en œuvre des mesures techniques et organisationnelles proportionnées couvrant :

• Analyse des risques et protection des systèmes
• Détection et réponse aux incidents
• Continuité d'activité et gestion de crise
• Contrôles des risques liés à la chaîne d'approvisionnement NIS2 en Lituanie
• Acquisition et développement sécurisés des systèmes TIC
• Contrôle d'accès et gestion des identités
• Chiffrement et mesures cryptographiques
• Procédures de gestion des vulnérabilités
• Formation du personnel à la cybersécurité

Les mesures doivent refléter l'état de l'art et l'exposition aux risques de l'organisation. L'alignement sur la norme ISO/IEC 27001 et les lignes directrices lituaniennes en matière de cybersécurité est encouragé.

La surveillance de la chaîne d'approvisionnement inclut la diligence raisonnable des fournisseurs et des garanties contractuelles en matière de cybersécurité.

7. Responsabilité des organes de direction et gouvernance en Lituanie

Les organes de direction doivent approuver formellement les mesures de gestion des risques en matière de cybersécurité et en superviser la mise en œuvre.

Dans le cadre juridique lituanien :

• Les conseils d'administration sont responsables de la supervision de la conformité.
• La direction générale doit assurer une compétence suffisante en cybersécurité. Les entités sont tenues de désigner un responsable de la cybersécurité ainsi que d'autres personnes désignées responsables de la mise en œuvre et de la conformité en matière de cybersécurité.
• Des sanctions administratives peuvent répondre aux défaillances de gouvernance.
• La suspension temporaire des fonctions de direction est prévue par la loi, mais ne s'applique qu'aux entités essentielles et uniquement à la suite d'une décision de justice. En outre, les entités essentielles doivent faire l'objet d'une évaluation de conformité indépendante au moins tous les trois ans, réalisée par un organisme de certification accrédité, selon un schéma similaire à l'ISO/IEC 27001.

Les attentes lituaniennes en matière de responsabilité des organes de direction au titre de NIS2 élèvent la gouvernance de la cybersécurité au rang de responsabilité au niveau de la direction exécutive.

8. Obligations de notification des incidents en Lituanie

9. Autorités de contrôle et modèle d’application en Lituanie

Autorité principale : National Cyber Security Centre (NCSC Lithuania).

La Lituanie applique un modèle de contrôle centralisé coordonné par le NCSC, avec l’intervention de régulateurs sectoriels lorsque nécessaire.

Les pouvoirs de contrôle comprennent :

• Demandes de documentation et d’informations
• Audits de sécurité
• Inspections sur site
• Instructions de conformité contraignantes
• Participation aux mécanismes de coordination de l’EU en matière de cybersécurité

La structure d’application est alignée sur les exigences de coopération au niveau de la directive.

10. Amendes et sanctions NIS2 en Lituanie

La Lituanie applique des sanctions administratives alignées sur la directive.

Les mesures d'exécution de NIS2 en Lituanie peuvent également inclure :

• Injonctions correctives contraignantes
• Identification publique des entités non conformes
• Suspension des autorisations ou des certifications
• Pouvoirs de suspension des dirigeants

La responsabilité pénale ne s'applique que lorsqu'elle est explicitement prévue par la législation lituanienne.

11. Sécurité de la chaîne d'approvisionnement et des fournisseurs au titre de NIS2 en Lituanie

Les entités doivent gérer l'exposition aux risques de cybersécurité liés aux tiers au moyen de :

• Évaluations des risques fournisseurs
• Dispositions contractuelles imposant la reprise des exigences de sécurité
• Surveillance continue des fournisseurs TIC
• Analyse du risque de concentration
• Atténuation de la propagation des incidents

L'approche de la Lituanie est conforme aux attentes de base de la directive en matière de gestion des risques fournisseurs.

12. Obligations d'enregistrement et d'auto-identification en Lituanie

Les entités relevant du champ d'application doivent :

• Aucun auto-enregistrement n'est requis. Le NCSC, conjointement avec d'autres institutions gouvernementales, identifie les entités relevant du champ d'application et les notifie directement par voie électronique. Les entités doivent vérifier si elles ont reçu une notification du NCSC (envoyée à l'adresse e-mail enregistrée auprès du Registre lituanien des personnes morales). Les entités incertaines de leur statut peuvent contacter directement le NCSC ou utiliser l'outil public de vérification de conformité du NCSC.
• Le NCSC peut demander des compléments ou des clarifications d'informations concernant les activités, les employés et d'autres circonstances pertinentes pour l'évaluation du champ d'application d'une entité.
• Divulguer la classification sectorielle
• Maintenir à jour les contacts de notification

Le NCSC a compilé et notifié le registre initial de 1 443 entités de cybersécurité autour du 17 avril 2025 (atteint). Les entités notifiées disposent de 12 mois à compter de la notification pour mettre en œuvre les mesures organisationnelles (échéance : environ 17 avril 2026) et de 24 mois pour les mesures techniques (échéance : environ 17 avril 2027). Le registre n'est pas accessible au public.

Bien que les entités ne soient pas tenues de s'enregistrer elles-mêmes, les organisations qui répondent aux seuils de taille et de secteur devraient vérifier de manière proactive si elles ont été notifiées. Si elles n'ont pas encore été notifiées, les organisations doivent contacter le NCSC, car le non-respect une fois identifié entraîne des sanctions importantes.

13. Interaction avec le GDPR et d'autres lois en Lituanie

Le General Data Protection Regulation continue de s'appliquer concomitamment.

Les considérations de recoupement comprennent :

• Notification d'une violation de données à caractère personnel dans les 72 heures
• Coordination avec l'autorité de contrôle

14. Applicabilité transfrontalière

Les entités dont l’établissement principal se situe en Lituanie sont supervisées par les autorités lituaniennes pour les services transfrontaliers.

Les prestataires numériques étrangers offrant des services en Lituanie peuvent être soumis à des obligations nationales selon la structure de leur établissement.

Les exigences de représentation suivent les normes de la directive pour les prestataires non-EU desservant le marché lituanien.

15. Calendrier de mise en œuvre en Lituanie

• Adoption de la Directive : 2022
• Modifications législatives nationales : Loi sur la cybersécurité modifiée (n° XII-1428) adoptée par le Seimas le 11 juillet 2024 ; Résolution gouvernementale sur la mise en œuvre adoptée le 6 novembre 2024 et en vigueur le 12 novembre 2024
• Entrée en vigueur : 18 octobre 2024 (Loi sur la cybersécurité modifiée) ; 12 novembre 2024 (Résolution gouvernementale sur la mise en œuvre)
• Notification à la Commission : Pleinement notifiée ; la Lituanie figure parmi les États membres ayant achevé la transposition dans les délais et n'est pas soumise à un avis motivé de la CE
• Jalons de conformité : Date limite d'identification et de notification des entités par le NCSC : 17 avril 2025 (atteinte ; 1 443 entités notifiées) ; échéance des mesures organisationnelles : 17 avril 2026 (12 mois après notification) ; échéance des mesures techniques : 17 avril 2027 (24 mois après notification) ; évaluation de conformité des entités essentielles : au moins tous les 3 ans à compter de l'inscription

La Lituanie a achevé la transposition de NIS2 le 18 octobre 2024, respectant le délai de l'UE. Le NCSC a notifié le registre initial des entités de cybersécurité autour du 17 avril 2025. L'échéance de conformité des mesures organisationnelles du 17 avril 2026 est désormais imminente pour les entités notifiées ; l'échéance des mesures techniques suit le 17 avril 2027.

16. Points clés pour les PME en Lituanie

• Les entités de taille moyenne dans les secteurs couverts relèvent automatiquement du champ d'application. Notez que le champ d'application de la Lituanie s'étend également à l'administration publique locale, aux entités critiques de recherche et aux fournisseurs de services d'hébergement d'informations électroniques au-delà du minimum de la directive.
• Les petites entités peuvent être désignées si elles sont critiques pour la stabilité nationale ou économique.
• La supervision de la gouvernance au niveau du conseil d'administration est obligatoire. Les entités doivent également désigner un responsable de la cybersécurité. Les entités essentielles doivent faire l'objet d'une évaluation de conformité indépendante au moins tous les trois ans par un organisme de certification accrédité.
• La notification d'incident suit les délais de 24h / 72h / 1 mois.
• Les sanctions financières peuvent atteindre 10 millions d'euros ou 2 % du chiffre d'affaires mondial.
• La gestion des risques fournisseurs est requise.
• Les entités ne s'enregistrent pas elles-mêmes — le NCSC identifie et notifie directement les entités. Vérifiez si votre organisation a reçu une notification du NCSC. Si elle a été notifiée autour du 17 avril 2025, les mesures organisationnelles sont dues vers le 17 avril 2026 et les mesures techniques vers le 17 avril 2027. Les entités non encore notifiées doivent contacter le NCSC de manière proactive.

FAQ : Guide NIS2 pour les PME en Lituanie