NIS2 en Malte

1. Aperçu rapide de l'applicabilité pour les SMEs à Malta

La NIS2 s'applique-t-elle aux PME en 1. Aperçu rapide de l'applicabilité pour les SMEs à Malta ?

Oui — selon le secteur et la taille.

• Applicabilité automatique aux entités de taille moyenne (≥50 employés et ≥€10 million de chiffre d'affaires ou de total de bilan) exerçant des activités dans les secteurs couverts.
• Les petites ou microentités ne sont incluses que si elles sont formellement désignées ou si elles exercent des activités dans des secteurs à haute criticité.
• S'applique aux entités établies à Malta et, dans certains cas, aux fournisseurs de services numériques étrangers desservant le marché maltais.

Les SMEs devraient évaluer leur qualification au titre du cadre national de cybersécurité de Malta sur la base de la classification sectorielle et des seuils légaux.

2. Aperçu de la mise en oeuvre de NIS2 à Malta

Malte a transposé la Directive NIS2 par le Legal Notice 71 of 2025 (S.L. 460.41 — NIS2 Order), publié le 8 avril 2025 et pleinement en vigueur depuis le 23 janvier 2026 en vertu du L.N. 22 of 2026.

Le NIS2 Order remplace intégralement le précédent cadre NIS1 (L.N. 216 of 2018) et établit un modèle de supervision partagé : le Critical Infrastructure Protection Department (CIPD) est superviseur national principal, tandis que la Malta Communications Authority (MCA) est désignée autorité compétente pour les infrastructures numériques et les services postaux et de messagerie. Le Critical Infrastructure Protection Advisory Board (CIPAB) conseille le CIPD en matière de sanctions administratives.

Un CSIRT national (CSIRT Malta) a été établi au sein du CIPD pour coordonner la réponse aux incidents. Les entités dans le champ d'application doivent désigner un CSIRT interne ou autonome et s'enregistrer auprès du CIPD via le mécanisme national d'autoenregistrement.

3. Champ d'application à Malta

Le champ d'application à Malta reflète les catégories sectorielles minimales de la Directive, sans extension structurelle confirmée.

4. Seuils de taille et applicabilité aux SME à Malta

Les seuils de base s'appliquent :

• ≥50 employés, et
• ≥€10 million de chiffre d'affaires annuel ou de total de bilan.

Les entités qui satisfont aux deux critères dans les secteurs couverts sont automatiquement incluses dans le champ d'application.

Les petites et microentreprises peuvent être désignées si elles sont jugées critiques pour la sécurité nationale, la stabilité économique ou la continuité des services essentiels.

Les autorités maltaises conservent des pouvoirs formels de désignation lorsque le risque systémique justifie une inclusion.

5. Cadre de classification des entités à Malta

Les entités sont classées comme suit :

• Entités essentielles — Soumises à une supervision proactive, incluant des inspections et un suivi structuré de la conformité.
• Entités importantes — Principalement soumises à une supervision réactive déclenchée par des incidents significatifs ou des préoccupations de conformité.

La classification est déterminée par le secteur et la taille. Les autorités peuvent reclassifier des entités lorsque l'impact opérationnel ou l'exposition aux risques justifient un renforcement de la surveillance.

Malta suit la structure de supervision à deux niveaux de la Directive.

6. Exigences de gestion des risques de cybersécurité à Malta

Le régime national de Malta est aligné sur le socle de la Directive en matière de gestion des risques de cybersécurité. Les entités concernées doivent mettre en œuvre des mesures techniques et organisationnelles proportionnées couvrant :

• Analyse des risques et protection des systèmes
• Détection et réponse aux incidents
• Continuité d'activité et gestion de crise
• Contrôles des risques de la chaîne d'approvisionnement NIS2 à Malta
• Acquisition et développement sécurisés des systèmes ICT
• Contrôle d'accès et gestion des identités
• Chiffrement et protections cryptographiques
• Procédures de gestion des vulnérabilités
• Formation du personnel à la cybersécurité

Les mesures doivent refléter les normes de l'état de l'art et l'exposition aux risques de l'organisation. L'alignement sur ISO/IEC 27001 et les orientations de cybersécurité de Malta est encouragé.

La supervision de la chaîne d’approvisionnement inclut la diligence raisonnable des fournisseurs et des garanties contractuelles en matière de cybersécurité.

7. Responsabilité de la direction et gouvernance à Malta

Les organes de direction doivent approuver formellement les mesures de gestion des risques en cybersécurité et en superviser la mise en œuvre.

Selon le cadre de Malta :

• Les conseils d’administration sont responsables de la supervision de la conformité.
• La haute direction doit garantir des compétences suffisantes en cybersécurité.
• Des sanctions administratives peuvent sanctionner les défaillances de gouvernance.
• La suspension temporaire de fonctions managériales peut être prévue dans le cadre de mécanismes d’application alignés sur la directive.

Les attentes de NIS2 en matière de responsabilité de la direction à Malta élèvent la gouvernance de la cybersécurité au rang de responsabilité au niveau exécutif.

8. Obligations de notification des incidents à Malta

9. Autorités de supervision et modèle d'application à Malta

Superviseur principal : Critical Infrastructure Protection Department (CIPD). Autorité compétente pour les infrastructures numériques et les services postaux/de messagerie : Malta Communications Authority (MCA). Réponse aux incidents : CSIRT Malta (au sein du CIPD). Le Premier ministre peut désigner d'autres autorités sectorielles par arrêté.

Malte applique un modèle de supervision partagé : le CIPD couvre la plupart des secteurs, tandis que la MCA est compétente pour les infrastructures numériques et les services postaux et de messagerie. Le CIPAB conseille le CIPD sur les sanctions administratives.

Les pouvoirs de supervision comprennent :

• Demandes de documents et d'informations
• Audits de sécurité
• Contrôles sur place
• Injonctions contraignantes en matière de conformité
• Participation aux mécanismes de coordination de la cybersécurité de l'EU

La structure d'application est alignée sur les exigences de coopération au niveau de la Directive.

10. Amendes et sanctions NIS2 à Malta

Malta applique des sanctions administratives alignées sur la directive.

L'application des amendes NIS2 à Malta peut également inclure :

• Injonctions de remédiation contraignantes
• Identification publique des entités non conformes
• Suspension des autorisations ou des certifications
• Pouvoirs de suspension des dirigeants

La responsabilité pénale ne s'applique que lorsqu'elle est expressément prévue par la législation maltaise.

11. Sécurité de la chaîne d'approvisionnement et des fournisseurs au titre de NIS2 à Malta

Les entités doivent gérer l'exposition aux risques de cybersécurité liés aux tiers au moyen de :

• Évaluations du risque fournisseur
• Clauses contractuelles de cascade des exigences de sécurité
• Surveillance continue des fournisseurs ICT
• Analyse du risque de concentration
• Atténuation de la propagation des incidents

L'approche de Malta est conforme aux attentes de base de la directive en matière de gestion du risque fournisseur.

12. Obligations d'enregistrement et d'auto-identification à Malta

Les entités relevant du champ d'application doivent :

• S'enregistrer via le mécanisme national d'autoenregistrement tenu par le CIPD (actif depuis le 23 janvier 2026) et notifier au CIPD la qualification d'entité essentielle ou importante
• Fournir les informations d'identification de l'entité
• Indiquer la classification sectorielle
• Tenir à jour les contacts de notification

Toutes les obligations NIS2 sont opérationnelles depuis le 23 janvier 2026. Les entités doivent désigner un CSIRT interne ou autonome pour la surveillance continue, maintenir des dispositions documentées de continuité d'activité et mettre en oeuvre des plans de sécurité pour opérateurs.

L'auto-identification est obligatoire. Les entités doivent évaluer leur statut essentiel/important selon le secteur et la taille et s'enregistrer auprès du CIPD.

13. Interaction avec le GDPR et d'autres lois à Malta

Le General Data Protection Regulation continue de s'appliquer en parallèle.

Les considérations de chevauchement incluent :

• Notification d'une violation de données à caractère personnel dans les 72 heures
• Coordination des autorités de contrôle
• Enquêtes parallèles en cybersécurité et en protection des données
• Législation sectorielle maltaise en matière de cybersécurité

Un incident de cybersécurité peut entraîner des obligations de notification au titre des deux régimes.

14. Applicabilité transfrontalière

Les entités dont l'établissement principal se trouve à Malta sont supervisées par les autorités maltaises pour les services transfrontaliers.

Les fournisseurs numériques étrangers offrant des services à Malta peuvent être soumis à des obligations nationales en fonction de leur structure d'établissement.

Les exigences de représentation suivent les normes de la Directive pour les fournisseurs non-EU desservant le marché maltais.

15. Calendrier de mise en œuvre à Malta

• Adoption de la Directive : 2022
• Modifications législatives nationales : Legal Notice 71 of 2025 (S.L. 460.41 — NIS2 Order), publié le 8 avril 2025 ; L.N. 306 of 2024 portant création du CIPD
• Entrée en vigueur : Pleinement en vigueur depuis le 23 janvier 2026 en vertu du L.N. 22 of 2026
• Notification de la Commission : Échéance initiale du 17 octobre 2024 manquée ; résolue avec l'entrée en vigueur intégrale
• Jalon de conformité : Toutes les obligations opérationnelles depuis le 23 janvier 2026 ; auto-enregistrement et désignation d'un CSIRT requis ; premiers audits formels attendus au S2 2027

Le NIS2 Order est pleinement en vigueur depuis le 23 janvier 2026 et toutes les obligations sont opérationnelles. Les entités non encore enregistrées auprès du CIPD ou n'ayant pas désigné de CSIRT doivent agir immédiatement.

16. Points clés pour les SMEs à Malta

• Les entités de taille moyenne dans les secteurs couverts entrent automatiquement dans le champ d'application.
• Les petites entités peuvent être désignées si elles sont critiques pour la stabilité nationale ou économique.
• La supervision de la gouvernance par l'organe de direction est obligatoire ; les organes de direction doivent approuver et superviser les mesures de gestion des risques de cybersécurité et suivre une formation à la cybersécurité si nécessaire ; une responsabilité personnelle peut s'appliquer en cas de manquement.
• La notification d'incidents respecte les délais 24 h / 72 h / 1 mois et est adressée à CSIRT Malta ; les infrastructures numériques et les services postaux/de messagerie notifient via la MCA.
• Les sanctions financières peuvent atteindre 10 millions € ou 2 % du chiffre d'affaires mondial.
• La gestion du risque fournisseurs est requise.
• Toutes les obligations NIS2 sont opérationnelles depuis le 23 janvier 2026 ; les entités doivent s'auto-enregistrer auprès du CIPD et désigner un CSIRT interne/autonome. Les premiers audits formels sont attendus au S2 2027 ; les entités non encore conformes doivent agir immédiatement.

FAQ : Guide NIS2 Malta pour SMEs