Panorama des cadres légaux face aux nouveaux enjeux cyber

Le cadre de cybersécurité de l’Afrique du Sud ne repose pas sur une loi unique et consolidée. Les obligations résultent d’un modèle réglementaire stratifié, au sein duquel plusieurs textes législatifs traitent de différents aspects des risques numériques : la sécurité des données personnelles et la notification des violations de données en vertu du Protection of Personal Information Act de 2013 (POPIA) ; la déclaration des cyberinfractions prévue par le Cybercrimes Act n° 19 de 2020 ; les obligations relatives aux communications et à l’interception des communications en vertu du RICA et de l’Electronic Communications Act ; ainsi que des exigences renforcées pour les entités désignées comme infrastructures critiques au titre du Critical Infrastructure Protection Act n° 8 de 2019. (1) Pour les groupes internationaux évaluant leur exposition en matière de conformité, l’Afrique du Sud évolue vers un modèle de régulation fondé sur la redevabilité (principe d’accountability) des acteurs. Cette orientation se traduit par cette approche réglementaire à plusieurs niveaux : chaque texte impose ses propres obligations, délais et mécanismes d’application, plutôt qu’un code unique et centralisé. Il en résulte un cadre dans lequel un fournisseur de SaaS ou de services cloud peut être amené à gérer simultanément les exigences imposées par une autorité de protection des données, une obligation de signalement aux autorités policières et une politique émergente de souveraineté des données.

1) La POPIA pose le cadre de référence

Le fondement du régime de cybersécurité sud-africain repose pour la plupart des organisations du secteur privé sur l’article 19 de la loi POPIA. Celui-ci exige que chaque partie responsable prenne des mesures techniques et organisationnelles appropriées et raisonnables afin de protéger les informations personnelles contre la perte, les dommages ou tout accès non autorisé (2). La norme est délibérément flexible. Il n’existe pas d’ensemble de contrôles minimaux prescrits, et les organisations alignent généralement leurs mesures sur des cadres de sécurité de l’information reconnus tels que l’ISO 27001 ou le NIST. L’article 19(2) va cependant plus loin, en exigeant explicitement que les organisations identifient les risques, établissent des garanties, vérifient leur mise en œuvre et les actualisent en continu.

Lorsqu’une violation se produit, l’article 22 du POPIA déclenche une double obligation de notification. La partie responsable doit informer, par écrit, à la fois le régulateur de l’information (via son portail en ligne) et les personnes concernées (3), dès lors qu’elle a des motifs raisonnables de croire qu’une personne non autorisée a accédé aux données personnelles ou les a obtenues. L’élément déclencheur est la conviction raisonnable d’une compromission, et non une non une confirmation résultant d’investigations confirmées, et le délai imparti est « dès que raisonnablement possible » après la découverte de l’incident. La notification ne peut être retardée que si les forces de l’ordre ou le Régulateur lui-même déterminent que la divulgation entraverait une enquête criminelle. En pratique, les organisations dépourvues d’un plan de réponse aux incidents préalablement testé auront des difficultés à satisfaire à cette exigence. Depuis 2023, l’Information Regulator a émis des notifications d’exécution pour défaut de notification, et les premières amendes administratives d’ampleur sont attendues à court terme.

Chaque organisation doit également désigner et enregistrer un responsable de l’information auprès du régulateur de l’information en vertu de l’article 55 du POPIA, et ce avant l’entrée en fonction de cette personne (4). Il s’agit généralement du directeur général (CEO) ou d’un responsable équivalent. Ce dernier est chargé de superviser le programme de conformité, de réaliser les évaluations de risques et d’assurer le canal officiel de communication avec le régulateur. Il ne s’agit pas d’une fonction facultative. Le défaut d’enregistrement du responsable de l’information constitue une violation de l’article 55 du POPIA.

2) Le Cybercrimes Act instaure une seconde obligation de signalement: 72 heures pour informer la police

Indépendamment du régime de notification axé sur la protection de la vie privée prévu par le POPIA, le Cybercrimes Act n° 19 de 2020 impose une obligation de signalement distincte à deux catégories d’entités. En vertu de l’article 54, qui n’est pas encore pleinement en vigueur dans l’attente de règlementations ministérielles précisant les catégories d’infractions devant être signalées, tout fournisseur de services de communications électroniques (ECSP) ou établissement financier qui découvre que son réseau ou service a été utilisé pour commettre une cyber infraction doit le signaler au service de police sud-africain (SAPS) dans un délai de 72 heures à compter du moment où il en prend connaissance. Le fournisseur doit simultanément conserver toute preuve susceptible d’aider une enquête (5). Le non-respect de cette obligation de signalement dans les délais impartis constitue une infraction pénale, passible d’une amende pouvant aller jusqu’à 50 000 rands (soit environ 2 600 euros). Les conséquences d’une condamnation sur la réputation et l’obtention de contrats gouvernementaux dépasseront probablement de loin la sanction financière pour la plupart des fournisseurs.

Les infractions qui déclencheront l’obligation de signalement seront celles qui seront définies par règlement du ministre de la Police. Les infractions prévues à la Partie I du Cybercrimes Act, telles que l’accès illégal, les attaques par rançongiciel (ransomware), la cyberfraude ou la cyberextorsion, sont les candidates les plus probables. Une fois les règlements d’application publiés, cette structure à double voie deviendra une contrainte opérationnelle courante pour tout fournisseur qualifié d’ECSP ou d’établissement financier.

Un seul incident, par exemple une attaque par rançongiciel compromettant également des données personnelles, peut déclencher à la fois une obligation de notification au titre du POPIA auprès du régulateur de l’information et aux personnes concernées (« dès que raisonnablement possible »), et un signalement au SAPS en vertu du Cybercrimes Act (dans un délai de 72 heures). Les deux signalements sont adressés à des destinataires différents et poursuivent des finalités distinctes. Les gérer en parallèle exige une attention particulière, notamment pour éviter toute divulgation susceptible de compromettre une enquête pénale. Les organisations devraient mettre en place un processus unique de réponse aux incidents, permettant d’évaluer simultanément ces deux obligations et d’impliquer les conseils juridiques dès le début.

3) Des obligations sectorielles et relatives aux infrastructures critiques viennent s’ajouter

Les entités désignées comme infrastructures critiques en vertu du Critical Infrastructure Protection Act n° 8 de 2019 (CIPA) sont soumises à des obligations nettement plus strictes. Les personnes responsables de ces infrastructures doivent s’enregistrer auprès du conseil des infrastructures critiques, mettre en œuvre un plan de sécurité approuvé par les autorités, couvrant à la fois les mesures de sécurité physique et de cybersécurité, et se soumettre à des inspections et audits réguliers. (6) La plupart des fournisseurs de SaaS et de services cloud ne relèvent pas de ce régime, à moins d’être spécifiquement désignés. Toutefois, le risque de désignation augmente, à mesure que les services cloud et les centres de données deviennent de plus en plus centraux pour l’infrastructure nationale ; les organisations doivent donc évaluer leur exposition de façon périodique.

Les opérateurs de télécommunications et fournisseurs d’accès à Internet sont soumis à un niveau d’obligations supplémentaire en vertu du RICA (Regulation of Interception of Communications Act n° 70 de 2002). L’article 30 de cette loi impose aux fournisseurs de services de télécommunications de veiller à ce que leurs services disposent de capacités d’interception et de conserver certaines données liées aux communications pendant trois à cinq ans, conformément aux directives applicables. (7) Lorsqu’un mandat d’interception légal est délivré, le fournisseur doit apporter son assistance en temps réel, à ses propres frais. La violation des conditions de licence imposées par l’ICASA peut entraîner des amendes allant jusqu’à 5 millions de rands (environ 260 000 euros) ou 10 % du chiffre d’affaires annuel, le montant le plus élevé étant retenu. Des infractions répétées au RICA peuvent également conduire à la révocation de la licence.

Les prestataires de services de cryptographie sont régis séparément par les articles 29 à 30 de l’Electronic Communications and Transactions Act (ECTA). Toute personne ou entreprise fournissant des services ou produits de chiffrement en Afrique du Sud doit s’enregistrer auprès du ministère des communications et des technologies numériques (DCDT) avant de commencer ses activités. (8) Le défaut d’enregistrement constitue une infraction pénale, passible d’une peine pouvant aller jusqu’à deux ans d’emprisonnement. Un enregistrement unique au niveau de l’entité suffit. La loi n’exige pas la divulgation des clés ou des algorithmes de chiffrement, et il n’existe aucune restriction comparable aux contrôles à l’exportation concernant la robustesse du chiffrement.

4) Hébergement transfrontalier et évolution vers une souveraineté des données

Il n’existe pas d’interdiction générale concernant l’hébergement à l’étranger des données personnelles, mais l’article 72 du POPIA restreint les transferts transfrontaliers de données personnelles, à moins que les lois du pays destinataire ou les dispositions contractuelles offrent un niveau de protection adéquat et comparable à celui prévu par le POPIA. (9) Les fondements autorisant un transfert incluent notamment l’adéquation du niveau de protection, le consentement de la personne concernée, la nécessité contractuelle ou l’intérêt de la personne concernée. Les organisations qui exportent des données personnelles doivent documenter le fondement juridique du transfert. L’absence de documentation constitue en soi une violation du POPIA, et non un simple défaut de preuve.

Une évolution importante en matière de politique publique réside dans la National Policy on Data and Cloud de 2024. Bien qu’il ne s’agisse pas encore d’une législation contraignante, ce texte prévoit explicitement que les données gouvernementales impliquant la sécurité nationale ou la souveraineté soient stockées exclusivement dans des infrastructures cloud situées en Afrique du Sud. (10) Cette politique annonce également la création potentielle d’un registre des fournisseurs de services cloud et d’un système de certification fondé sur des normes minimales de sécurité, placé sous l’autorité du DCDT. Les organisations répondant à des appels d’offres pour des services cloud gouvernementaux ou hébergeant des données publiques devraient dès à présent intégrer les exigences de localisation des données dans leur stratégie d’infrastructure, avant l’adoption formelle de ces mesures.

En ce qui concerne les déploiements de l’Internet des objets (IdO/IoT) et de l’informatique en périphérie (edge computing), il n’existe pas encore de législation spécifique consacrée à la cybersécurité de l’IoT. Les objets connectés utilisant des fréquences radio doivent toutefois obtenir une homologation (type approval) auprès de l’ICASA. Toute collecte de données personnelles par une solution IoT entraîne l’application complète des obligations de sécurité et de notification des violations prévues par le POPIA. Les meilleures pratiques internationales, notamment la norme ETSI EN 303 645 relative à la sécurité de l’IoT grand public, sont encouragées. En cas de violation de données, l’absence de mesures de sécurité intégrées dès la conception (secure-by-design) serait un facteur déterminant dans toute procédure d’application du POPIA ou d’évaluation de la responsabilité civile au titre de l’article 99 de la loi.

Conclusion

À notre avis, l’Afrique du Sud devrait être appréhendée comme une juridiction reposant sur un ensemble d’obligations stratifiées, plutôt que sur une législation unique et centralisée. Le cœur du dispositif de conformité réside dans l’obligation générale de sécurité prévue par le POPIA, ainsi que dans son délai de notification des violations de données formulé de manière ouverte. Un nombre croissant d’organisations devra également gérer l’obligation de signalement à la police dans un délai de 72 heures, prévue par le Cybercrimes Act, une fois que l’article 54 sera pleinement entré en vigueur. À cela s’ajoutent des obligations sectorielles issues du RICA, du CIPA et de l’ECTA, qui introduisent des contrôles supplémentaires souvent invisibles dans une analyse limitée au seul POPIA.

Trois évolutions à court terme méritent une attention particulière. L’entrée en vigueur des règlements relatifs à l’article 54, qui instaurera un délai impératif de 72 heures pour signaler les incidents à la police pour les fournisseurs de services de communications électroniques et les institutions financières. Deuxièmement, la finalisation de la stratégie nationale de cybersécurité, qui devrait introduire des protocoles plus clairs de coordination des incidents entre les secteurs public et privé. Troisièmement, l’éventuelle adoption d’un régime d’enregistrement des fournisseurs de services cloud, envisagé dans le cadre de la National Policy on Data and Cloud de 2024. Pour les équipes de conformité, la recommandation pratique est simple : considérer la préparation à la gestion des incidents, la préservation des preuves et la documentation des bases juridiques de transfert de données comme des priorités de gouvernance. En Afrique du Sud, à mesure que le cadre d’application des règles se précise, les organisations ayant testé leurs procédures de réponse aux incidents sont de plus en plus celles qui parviennent à maintenir un incident cyber dans le périmètre d’un problème de conformité maîtrisé, plutôt que de le voir se transformer en exposition cumulative aux risques réglementaires et pénaux.

*****

(1) Comprendre le droit sud-africain de la cybersécurité dans le contexte du cyberincident de la SAA (Polity.org.za, 2025)

(2) Article 19 du POPIA – Mesures de sécurité concernant l’intégrité et la confidentialité des informations personnelles

(3) Article 22 du POPIA – Notification des compromissions de sécurité

(4) Information Regulator – Portail d’enregistrement de l’Information Officer ; article 55 du POPIA

(5) Article 54 du Cybercrimes Act – Obligations des fournisseurs de services de communications électroniques et des institutions financières

(6) Critical Infrastructure Protection Act n° 8 de 2019

(7) Regulation of Interception of Communications Act n° 70 de 2002 (RICA) – article 30

(8) Electronic Communications and Transactions Act n° 25 de 2002 (ECTA) – articles 29 et 30, enregistrement des prestataires de cryptographie

(9) Article 72 du POPIA – Transferts d’informations personnelles en dehors de la République

(10) National Policy on Data and Cloud (2024) – Department of Communications and Digital Technologies

(11) Aperçu des lois sud-africaines sur la cybersécurité – Michalsons

(12) Information Regulator – Fiche d’information : Gestion des compromissions de sécurité (août 2025)

DAVID LUYT
southafrica@lexing.network

Au Brésil, le cadre de la cybersécurité ne s’appuie pas sur une loi unique et monolithique. Les obligations en la matière découlent donc de textes multiples. Des instruments nationaux de gouvernance fixent les orientations stratégiques, le régime de protection des données impose des obligations contraignantes en matière de sécurité et de gestion des incidents lorsque des données à caractère personnel sont concernées et les réglementations sectorielles traduisent de plus en plus le risque cyber en véritables exigences de résilience pour les services essentiels. Pour les groupes internationaux qui comparent les approches réglementaires, le Brésil converge vers les juridictions axées sur la responsabilisation et la résilience, mais il le fait par le biais d’une accumulation réglementaire, d’échéances précises et d’une supervision sectorielle plutôt que par un effort de codification unique.

1) Une gestion des incidents rigoureuse : délais stricts et conformité documentaire. L’obligation principale trouve son fondement dans la loi générale sur la protection des données (LGPD). La LGPD impose aux responsables de traitement et aux sous-traitants de mettre en œuvre des mesures techniques et organisationnelles pour la protection des données personnelles. Elle établit également l’obligation de notifier tout incident susceptible d’engendrer un risque ou un dommage significatif pour les personnes concernées. L’évolution opérationnelle la plus marquante est la Résolution CD/ANPD n° 15/2024 de l’ANPD, qui fixe un délai de trois jours ouvrables pour notifier l’autorité et les personnes concernées lorsqu’un incident atteint le seuil de signalement.

Ce régime est conçu pour répondre à la réalité des incidents de terrain, y compris lorsque l’évaluation initiale reste incomplète. Il exige une notification rapide, tout en permettant de compléter les détails pertinents à mesure de l’avancement des investigations. Parallèlement, il place la documentation au cœur de la conformité. Les responsables de traitement doivent tenir un registre des incidents, y compris ceux qui ne font pas l’objet d’une notification, pendant au moins cinq ans. Ce registre doit impérativement consigner des éléments clés tels que les dates pertinentes, la description générale des circonstances, les catégories de données concernées, le nombre de personnes affectées, l’évaluation des risques, les mesures d’atténuation mises en œuvre et les motifs ayant conduit, le cas échéant, à ne pas notifier l’incident. En pratique, cette approche ancre la cybersécurité au cœur de la gouvernance, car l’exposition juridique ne dépend plus seulement de l’incident lui-même, mais de la capacité de l’organisation à démontrer, dans des délais courts, la manière dont elle a évalué la situation, les décisions prises et les mesures mises en œuvre.

2) La gouvernance nationale au service de la résilience des services essentiels. Le Brésil a musclé son cadre de gouvernance, qui oriente la manière dont les autorités publiques et les régulateurs sectoriels définissent les priorités en matière de cybersécurité. Le décret n° 11.856/2023 a institué la Politique nationale de cybersécurité et créé le Comité national de cybersécurité, en liant explicitement la cybersécurité aux droits fondamentaux, à la prévention des incidents affectant les infrastructures critiques et les services essentiels, ainsi qu’à la résilience organisationnelle au sein des entités publiques et privées.

En 2025, le décret n° 12.573/2025 a instauré la Stratégie nationale de cybersécurité actualisée. Celle-ci s’articule autour de piliers thématiques, tels que la sécurité et la résilience des services essentiels et des infrastructures critiques, la protection et la sensibilisation des citoyens, la coopération public-privé, ainsi que la gouvernance et la souveraineté. Pour les secteurs régulés, il s’agit d’un tournant décisif : il confirme une orientation politique majeure où la cybersécurité est de plus en plus appréhendée sous l’angle de la continuité de service et de la résilience, et non plus uniquement sous celui de la confidentialité de l’information.

3) Les exigences les plus strictes sont sectorielles, le secteur financier s’imposant comme la référence. Au Brésil, les exigences de cybersécurité les plus techniques et les plus strictes émanent souvent des secteurs régulés, en particulier au sein du système financier et des infrastructures de paiement. L’une des principales sources de cette orientation est le Vote n° 88/2025 du Conseil monétaire national (CMN), publié par la Banque centrale en décembre 2025. Ce document expose les raisons justifiant un renforcement des exigences, compte tenu de l’importance croissante des infrastructures numériques et des réseaux de communication du système financier, et détaille des attentes minimales alignées sur les exigences en matière de surveillance et d’audit.

L’orientation en matière de conformité est claire. Les contrôles doivent désormais être démontrables et non plus simplement décrits, tandis que les mécanismes de résilience sont présentés comme indispensables pour garantir la protection et la continuité des services financiers essentiels. Pour les équipes internationales de conformité, l’implication est nette : au Brésil, le niveau d’exigence le plus élevé est souvent fixé au niveau sectoriel, le secteur financier servant fréquemment de référence et influençant les pratiques de gouvernance et d’assurance de conformité des fournisseurs, y compris au-delà du périmètre des entités directement supervisées par la Banque centrale.

4) Les actions civiles deviennent plus probatoires et davantage dépendantes du contexte. La Cour supérieure de justice du Brésil a continué d’affiner la manière dont les litiges liés à l’exposition de données personnelles se traduisent en réparation du préjudice moral. En 2023, la deuxième chambre a jugé que la divulgation de données personnelles non sensibles ne génère pas, à elle seule, un droit automatique à réparation pour préjudice moral, celui-ci devant être effectivement démontré. En février 2026, la quatrième chambre a estimé que la mise à disposition non autorisée de données personnelles non sensibles dans le cadre du registre positif de crédit (cadastro positivo) n’entraîne pas automatiquement la présomption de dommages moraux. Il faut désormais prouver une atteinte significative aux droits de la personnalité. La juridiction a également rappelé les limites au réexamen des éléments de preuve au stade du recours en appel.

Pour les organisations, l’enseignement principal est que la responsabilité civile dépendra le plus souvent de l’établissement précis des faits. Lorsque les juridictions exigent la preuve du préjudice et une analyse contextuelle, l’ampleur de l’incident, sa chronologie et sa documentation deviennent déterminantes, rejoignant directement le modèle de conformité fondé sur des délais stricts et sur la documentation mis en place par l’ANPD.

À notre avis, le Brésil doit être considéré comme un pays dans lequel la cybersécurité est fondée à la fois sur des délais stricts et sur une logique probatoire. Le centre de gravité réglementaire s’éloigne du formalisme des politiques pour se rapprocher de la crédibilité opérationnelle. Une obligation de notification dans un délai de trois jours ouvrés, combinée à des exigences de conservation des registres d’incident sur plusieurs années, signifie que la préparation n’est plus une simple préférence technique. Elle devient un véritable mécanisme de maîtrise du risque juridique, devant fonctionner sous contrainte et rester défendable a posteriori.

Le Brésil construit également des exigences de résilience par la supervision et des instruments sectoriels, plutôt que d’attendre une codification unique. Les décisions récentes de la Cour supérieure de justice confirment par ailleurs que les issues en matière de responsabilité civile ne sont pas uniformes et dépendent du contexte ainsi que de la preuve apportée. Cette combinaison rend la préparation d’autant plus précieuse, et non l’inverse, car la documentation des incidents devient l’atout central pour les échanges avec le régulateur et la stratégie contentieuse. Pour les dirigeants, la recommandation est claire : traiter les incidents en y étant préparé, assurer la traçabilité et s’appuyer sur la gouvernance des tiers constituent des priorités de gouvernance, car au Brésil, elles déterminent de plus en plus si un cyber incident demeure un enjeu de conformité maîtrisé ou s’il dégénère en une exposition réglementaire et contentieuse cumulative.

*****

(1) Brésil, Loi n° 13.709 du 14 août 2018, Loi générale sur la protection des données (LGPD) ; Brésil, Présidence de la République, Portail législatif du Planalto, consulté sur : https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm

(2) Brésil, Résolution CD/ANPD n° 15 du 24 avril 2024, Règlement sur la communication des incidents de sécurité ; Brésil, Ministère de la Justice et de la Sécurité publique, Dépôt normatif DSpace, consulté sur : https://dspace.mj.gov.br/handle/1/12879

(3) Brésil, Décret n° 11.856 du 26 décembre 2023 instituant la Politique nationale de cybersécurité (PNCiber) et le Comité national de cybersécurité (CNCiber) ; Brésil, Présidence de la République, Portail législatif du Planalto, consulté sur : https://www.planalto.gov.br/ccivil_03/_ato2023-2026/2023/decreto/d11856.htm

(4) Brésil, Décret n° 12.573 du 4 août 2025 instituant la Stratégie nationale de cybersécurité (E-Ciber) ; Brésil, Présidence de la République, Portail législatif du Planalto, consulté sur : https://www.planalto.gov.br/ccivil_03/_ato2023-2026/2025/decreto/d12573.htm

(5) Brésil, Conseil monétaire national, Vote (Voto) n° 88/2025–CMN du 18 décembre 2025, proposition relative aux exigences en matière de cybersécurité et de cloud liées au RSFN/Pix/STR ; Banque centrale du Brésil, Dépôt Normativos, consulté sur : https://normativos.bcb.gov.br/Votos/CMN/202588/Voto_do_CMN_88_2025.pdf

(6) Brésil, Cour supérieure de justice (STJ), Communiqué de presse du 17 mars 2023, « La personne concernée dont les données ont fuité doit prouver un préjudice réel pour réclamer des dommages-intérêts » (Deuxième chambre) ; Portail d’actualités de la STJ, consulté sur : https://www.stj.jus.br/sites/portalp/Paginas/Comunicacao/Noticias/2023/17032023Titular-de-dados-vazados-deve-comprovar-dano-efetivo-ao-buscar-indenizacao-decide-Segunda-Turma.aspx

(7) Brésil, Cour supérieure de justice (STJ), Communiqué de presse du 13 février 2026, « La mise à disposition non autorisée de données personnelles non sensibles dans le « registre positif de crédit » ne génère pas de préjudice moral présumé » (Quatrième chambre) ; Portail d’actualités de la STJ, consulté sur : https://www.stj.jus.br/sites/portalp/paginas/comunicacao/noticias/2026/13022026disponibilizacao-nao-autorizada-de-dados-pessoais-nao-sensiveis-em-cadastropositivo-nao-gera-dano-moral-presumido.aspx

FLAVIA M. MURAD SCHAAL
&
DEYSE ALCANTARA DE LIMA

brazil@lexing.network

La réglementation de la cybersécurité en Grèce est largement façonnée par la législation de l’Union européenne, et plus particulièrement par la directive (UE) 2022/2555 relative à des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union (directive NIS 2) (1). La Grèce a transposé cette directive par la loi 5160/2024 (2), qui établit un cadre national complet pour la gestion des risques de cybersécurité, le signalement des incidents et la surveillance prudentielle.

L’objectif de ce cadre est de renforcer la résilience des infrastructures critiques et des services essentiels, tout en consolidant la coopération entre les autorités publiques et les opérateurs privés en matière de prévention et de réponse aux incidents de cybersécurité. En Grèce, les obligations de cybersécurité interagissent également avec d’autres domaines réglementaires, notamment la protection des données, la gouvernance numérique et la législation sectorielle de l’Union européenne.

La pierre angulaire de la réglementation de la cybersécurité en Grèce est la Loi 5160/2024, qui transpose la directive (UE) 2022/2555 en droit national. Cette loi élargit le champ des entités réglementées et s’applique tant aux entités « essentielles » qu’« importantes » opérant dans des secteurs tels que l’énergie, les transports, la santé, les infrastructures numériques et l’administration publique (3).

Les entités entrant dans le champ d’application de la loi sont tenues de mettre en œuvre des mesures techniques et organisationnelles appropriées pour gérer les risques de cybersécurité affectant leurs réseaux et leurs systèmes d’information (4). Ces mesures comprennent, entre autres, des procédures de traitement des incidents, des dispositifs de continuité d’activité tels que la gestion des sauvegardes et la reprise après sinistre, ainsi que des mesures de sécurité de la chaîne d’approvisionnement (5).

La loi établit également des obligations de notification d’incidents, exigeant des entités qu’elles signalent tout incident de cybersécurité significatif aux autorités compétentes dans des délais spécifiques (6). En outre, les organes de direction sont responsables de l’approbation des mesures de gestion des risques de cybersécurité et de la supervision de leur mise en œuvre, et doivent s’assurer que des mécanismes de gouvernance de la cybersécurité adéquats sont en place (7).

Le non-respect de ces obligations peut donner lieu à des sanctions administratives et à des mesures de surveillance imposées par les autorités compétentes (8).

Des exigences techniques et organisationnelles complémentaires sont précisées par la législation secondaire et les actes d’exécution pris en application de la loi 5160/2024 (9), lesquels définissent les mesures de sécurité minimales et les procédures de mise en conformité pour les entités régulées.

La politique et la supervision de la cybersécurité en Grèce sont coordonnées par l’Autorité nationale de cybersécurité (NCSA), qui opère sous l’égide du ministère de la Gouvernance numérique. L’Autorité supervise les entités entrant dans le champ d’application de la législation sur la cybersécurité, coordonne les mécanismes nationaux de réponse aux incidents et participe aux structures de coopération européenne établies dans le cadre de la directive NIS 2.

La NCSA contribue également à l’élaboration et à la mise en œuvre de la Stratégie nationale de cybersécurité, qui définit les priorités stratégiques pour renforcer la cyber-résilience et protéger les infrastructures critiques en Grèce.

*****

(1) Directive (UE) 2022/2555 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union (directive NIS 2).

(2) Loi grecque 5160/2024 transposant la directive (UE) 2022/2555.

(3) Art. 3 et 4 de la loi 5160/2024 définissant le champ d’application et les catégories d’entités essentielles et importantes.

(4) Art. 21 de la loi 5160/2024 établissant les obligations en matière de gestion des risques de cybersécurité

(5) Art. 21(2) de la loi 5160/2024 énumérant des mesures indicatives de gestion des risques de cybersécurité.

(6) Art. 23 et 24 de la loi 5160/2024 relatifs aux obligations de notification des incidents.

(7) Art. 20 de la loi 5160/2024 concernant les responsabilités de l’organe de direction en matière de gestion des risques de cybersécurité.

(8) Art. 34 à 36 de la loi 5160/2024 relatifs aux mesures de surveillance et aux sanctions administratives.

(9) Actes d’exécution et décisions ministérielles adoptés en vertu de la loi 5160/2024 établissant les exigences minimales en matière de cybersécurité.

GEORGE BALLAS
&
NIKOLAOS PAPADOPOULOS

greece@lexing.network

La cybersécurité en Inde est régie par une combinaison de législations primaires, de règles subordonnées, de directives exécutives et d’instruments politiques, tous réglementés collectivement par le ministère de l’Électronique et des Technologies de l’information (MeitY). Les obligations principales découlent de la loi sur les technologies de l’information de 2000 (l’« IT Act »). En outre, des obligations découlent également des lois sur la protection des données récemment adoptées en Inde, à savoir la loi sur la protection des données personnelles numériques de 2023 (le « DPDP Act ») et les règles sur la protection des données personnelles numériques de 2025 (les « DPDP Rules »).

Politique nationale de cybersécurité de 2013

La Politique nationale de cybersécurité de 2013 de l’Inde fournit le cadre stratégique global en matière de cybersécurité. Bien qu’elle ne soit pas juridiquement contraignante, elle oriente les initiatives gouvernementales et les réglementations sectorielles. Ses principaux objectifs visent la protection des infrastructures d’information critiques, le développement de capacités de réponse aux incidents, la promotion de la collaboration public-privé et la création d’un écosystème cyber sécurisé.

Garanties de cybersécurité à instaurer

Les responsables de traitement et leurs sous-traitants sont tenus d’assurer la sécurité des données personnelles en leur possession. Ils doivent mettre en œuvre des mesures raisonnables pour prévenir tout risque de violation. Les mesures à adopter incluent le chiffrement, l’obfuscation (ou masquage) et la tenue de journaux de bord (logs) conformément aux prescriptions (1). Le DPDP Act impose un respect strict de ces garanties de sécurité, et tout manquement pourrait exposer les responsables de traitement ainsi que les sous-traitants à des sanctions pouvant atteindre environ 27 millions de dollars US. (2)

Sanctions pénales et civiles pour les cyber-infractions

En vertu de l’IT Act (Loi sur les technologies de l’information), toute atteinte aux systèmes informatiques (tels que l’accès non autorisé, la copie ou l’extraction de données, l’introduction de logiciels malveillants, les attaques par déni de service, etc.) engage la responsabilité des personnes impliquées, les obligeant à verser des dommages et intérêts aux victimes de ces agissements. Ces personnes s’exposent également à une responsabilité pénale au titre de cette même loi. (3)

Violation de la confidentialité

L’article 72-A de l’IT Act instaure une responsabilité pénale en cas de divulgation, sans consentement, d’informations obtenues dans le cadre d’un contrat légal, lorsqu’il existe une intention de causer une perte ou un profit illégitime.

Le CERT-In en tant qu’agence nationale

L’article 70-B désigne l’équipe d’intervention en cas d’urgence informatique de l’Inde (« CERT-In ») en tant qu’agence nationale de coordination pour la réponse aux incidents de cybersécurité et l’habilite à émettre des directives. Le CERT-In publie périodiquement diverses lignes directrices et avis techniques en matière de cybersécurité.

Signalement des incidents et autres exigences

Par des directives du 28 avril 2022 le CERT-In a instauré une obligation de signalement dans un délai maximal de six (6) heures pour certains incidents de cybersécurité identifiés. Le non-respect de cette obligation peut entraîner des sanctions allant jusqu’à dix millions de roupies (1 00,00,000 INR, soit environ 108 200 USD) au titre de l’IT Act (4).

Les organisations sont également tenues d’activer les journaux de bord (logs) de tous leurs systèmes d’information et de communication, et de les conserver de manière sécurisée en Inde pendant une période glissante de 180 jours. Ces journaux doivent être fournis au CERT-In lors du signalement de tout incident ou sur injonction de l’agence.

Régulateurs sectoriels

La Reserve Bank of India (Banque centrale de l’Inde), qui régule le secteur bancaire, a publié un cadre (5) imposant aux institutions bancaires d’adopter une politique de cybersécurité, approuvée par leur conseil d’administration. Elles doivent mettre en place un centre d’opérations de sécurité (SOC) pour la surveillance des menaces et appliquer un plan de gestion de crise informatique, également approuvé par le conseil, en plus des exigences du CERT-In et des obligations en matière de PCA/PRA (Plan de continuité d’activité / Plan de reprise d’activité).

De même, des cadres de cybersécurité et de cyber-résilience ont été définis par le Securities and Exchange Board of India (SEBI) pour les entités cotées (6), ainsi que par l’Insurance Regulatory and Development Authority of India (IRDAI) pour les assureurs (7). Ces règlements exigent généralement que les entités régulées établissent une politique de cybersécurité approuvée par leur conseil d’administration et désignent un responsable de la sécurité des systèmes d’information (RSSI ou CISO) ou équivalent, chargé de la mise en œuvre dudit cadre.

Conclusion

La cybersécurité en Inde est régie par un cadre réglementaire à plusieurs niveaux combinant des dispositions législatives, des règlements, directives exécutives et des politiques internes. L’IT Act établit le régime de responsabilité général et les pouvoirs de sanction ; les règles SPDI imposent des exigences de sécurité liées à la vie privée ; le DPDP Act instaurera prochainement un régime de protection des données personnelles, assorti de sanctions importantes en cas de non-conformité ; enfin, les directives du CERT-In imposent un signalement rapide des incidents ainsi que des contrôles opérationnels.

*****

(1) Règle 6 du Règlement DPDP. Par ailleurs, selon la Règle 8 du Règlement sur les technologies de l’information (Pratiques de sécurité raisonnables et données à caractère personnel sensibles) de 2011 (« Règlement SPDI ») — maintenu en vigueur jusqu’en mai 2027, date de la pleine application du Règlement DPDP — la mise en œuvre de programmes de sécurité documentés intégrant des garanties administratives, techniques, opérationnelles et physiques est impérative pour tout traitement de données sensibles. Le respect des normes IS/ISO/IEC 27001 ou équivalentes est réputé satisfaire à cette obligation.

(2) Annexe de la Loi DPDP.

(3) Articles 44 à 66 de l’IT Act.

(4) Article 70-B (7) de l’IT Act.

(5) Cadre de cybersécurité de la RBI pour le secteur bancaire du 2 juin 2016.

(6) Cadre de cybersécurité et de cyber-résilience (CSCRF) destiné aux entités régulées par la SEBI, en date du 20 août 2024.

(7) Lignes directrices de l’IRDAI relatives à la sécurité informatique et à la cybersécurité des assureurs (circulaire n° IRDAI/IT/GDL/MISC/082/04/2017 du 7 avril 2017).

SIDDHARTHA GEORGE
&
HARINI SUDERSAN
&
VIBHUTI TYAGI

india@lexing.network

Le Mexique est devenu l’une des cibles privilégiées des cyberattaques en Amérique latine, se classant au troisième rang régional des pays les plus touchés par le logiciel malveillant « Lumma Stealer ». Le pays affiche aujourd’hui une grande vulnérabilité face au vol d’identifiants, au hameçonnage et à l’espionnage d’acteurs étatiques, en particulier de la Chine.

Sur le plan réglementaire, le pays vit une transition majeure. Jusqu’ici marqué par un cadre juridique fragmenté et sans loi-cadre dédiée, le Mexique s’apprête à franchir une étape clé en 2026 avec une véritable institutionnalisation de sa cybersécurité. Ce tournant, porté par le renforcement du CERT-MX et la création de l’Agence nationale de cybersécurité (ANC), vise à s’aligner sur les standards internationaux (USMCA, NIS2) et à instaurer des sanctions strictes en cas de manquements. Déjà bien ancrée dans les secteurs fiscal et judiciaire, la cryptographie sert de socle à cette modernisation numérique.

Avec le lancement de son Plan national de cybersécurité 2025-2030 (1), le Mexique affiche clairement son ambition : devenir le leader de la région. Cette feuille de route vise non seulement à sécuriser les actifs numériques et les institutions fédérales, mais aussi à encourager la coopération internationale pour faire du pays un modèle de gouvernance numérique en Amérique latine et dans les Caraïbes.

1. Menaces et acteurs en présence

Sa situation géographique stratégique et son haut degré de numérisation expose le Mexique à des risques constants. Ces risques proviennent principalement de la cybercriminalité classique ou d’espionnage piloté par des services de renseignement étrangers.

Principales menaces

• logiciels malveillants et infostealers : avec plus de 9 600 machines Windows touchées entre mars et mai 2025, le Mexique figure au dixième rang mondial des pays les plus ciblés par le malware Lumma Stealer (LummaC2) (2).
• vol d’identifiants : alimenté par les violations de données et des malwares spécialisés, le vol d’identifiants s’impose aujourd’hui comme une préoccupation majeure.
• rançongiciels et hameçonnage : ces vecteurs d’attaque bien connus restent omniprésents et visent indifféremment les particuliers, les entreprises et les institutions publiques.

Acteurs étatiques : le Mexique suscite un vif intérêt de la part des services de renseignement étrangers (neuf opérations recensées). On note l’importance d’acteurs chinois, qui se concentrent sur :

• l’espionnage ;
• la collecte d’informations confidentielles ;
• la recherche de gains économiques stratégiques.

2. Cadre juridique et réglementaire

À ce jour, le Mexique ne dispose pas encore d’une loi-cadre unique dédiée exclusivement à la cybersécurité, son arsenal juridique s’appuie sur un ensemble de textes existants et plusieurs réformes législatives en cours.

Législation pertinente :

• constitution mexicaine (articles 6 et 16) : elle garantit les droits fondamentaux relatifs à la protection de la vie privée et des données personnelles.
• loi sur la signature électronique avancée (2012) : elle confère à la signature numérique une valeur juridique équivalente à celle de la signature manuscrite.
• LFPDPPP (3)/ LGPDPPSO (4) : ces deux lois régissent la protection des données à caractère personnel, respectivement dans les secteurs privé et le secteur public.
• code de commerce : il reconnaît la validité des transactions électroniques et définit les modalités d’utilisation des certificats numériques.
• code fiscal fédéral : il fixe les règles pour les timbres fiscaux numériques et les procédures et les procédures de déclaration électronique par le SAT, le Service d’administration fiscale.

Vers une loi-cadre : l’adoption d’une loi fédérale sur la cybersécurité semble désormais imminente. Cette accélération répond aux exigences de l’accord États-Unis-Mexique-Canada (UMCUA) ainsi qu’aux standards fixés par les directives européennes. La proposition de loi Colosio-Trasviña prévoit ainsi :

• la création d’une Agence nationale de cybersécurité (ANC): organisme autonome, l’ANC deviendrait le pivot de la coordination nationale ;
• une évolution des lois relatives à la protection des données : sont prévus un durcissement de ces textes avec l’imposition des exigences techniques renforcées et de l’obligation de notifier les violations de données dans des délais plus restreints ;
• le développement de talents et l’instauration d’une culture de la cybersécurité : pour remédier à la pénurie d’experts, il est proposé la création de l’Académie virtuelle fédérale , dans le prolongement du programme pour la cybersécurisation de l’Administration publique fédérale (APF), afin d’assurer la formation et la sensibilisation obligatoire des agents publics, ainsi que la mise en place d’un programme national de bourses et l’harmonisation des cursus universitaires en collaboration avec le ministère de l’Éducation ;
• protection des infrastructures critiques : le Mexique prévoit d’élaborer un catalogue national des infrastructures critiques et des services essentiels. Ce catalogue permettra au gouvernement de déployer des ressources de protection ciblées et d’organiser des exercices de cybersécurité réguliers pour garantir la résilience des secteurs vitaux (énergie, eau, santé).

3. Usages de la cryptographie dans des secteurs stratégiques

Au Mexique, la cryptographie est la technologie disposant du cadre réglementaire le plus robuste et le plus abouti. La cryptographie est utilisée dans plusieurs domaines clés.

• administration fiscale (SAT) : le SAT a été pionnier dans l’utilisation des signatures électroniques pour les reçus fiscaux numériques et la facturation électronique (CFDI) ainsi que pour les timbres numériques.
• système judiciaire : les tribunaux fédéraux ont intégré la signature électronique certifiée (FIREL).
• protection sociale: la sécurité sociale (IMSS) et le fonds national de logement des salariés (INFONAVIT) s’appuient sur la signature numérique pour les démarches liées aux prestations et aux prestations sociales.
• recherche avancée : des institutions telles que le CINVESTAV, l’IPN et l’INAOE développent des travaux de recherche en cryptographie quantique et post-quantique.
• recherche de pointe : des centres d’excellence tels que le CINVESTAV (Centre de recherche et d’études avancées de l’Institut polytechnique national), l’IPN (Institut Polytechnique National) et l’INAOE (Institut national d’astrophysique, d’optique et d’électronique) mènent des travaux de premier plan sur la cryptographie quantique et post-quantique.
• technologies émergentes : la recherche actuelle se concentre sur la sécurisation des bases de données externalisées (DaaS) et sur la protection des communications au sein des réseau ad hoc véhiculaires (VANET).

4. Renforcement des sanctions et régulation sectorielle

Pour combattre plus efficacement la cybercriminalité, le Mexique a durci sa législation pénale, en réformant son Code pénal fédéral.

Principales réformes pénales

• sabotage informatique : l’accès illicite aux systèmes de l’État ou leur modification est qualifiée d’atteinte à la sécurité nationale, passible de 5 à 10 ans d’emprisonnement.
• usurpation d’identité : le nouvel article 430 du Code pénal fédéral punit l’usurpation d’identité numérique par des peines de 3 à 10 ans d’emprisonnement, avec des circonstances aggravantes lorsque l’intelligence artificielle (notamment les hypertrucage (deepfakes)) est utilisée ou lorsque l’infraction vise des mineurs ou des personnes âgées.

Evolutions sectorielles

• secteur financier (CNBV – Commission nationale bancaire et des valeurs) : depuis juin 2024, les banques sont tenues d’instaurer l’authentification à deux facteurs (2FA) et de déployer des dispositifs de gestion de la fraude. En cas de manquement, la responsabilité financière de l’établissement est directement engagée.
• secteur des télécommunications : mise en œuvre d’une politique générale de cybersécurité imposant des normes pour les infrastructures critiques.

5. Coopération internationale et perspectives pour 2026

En ratifiant la Convention des Nations Unies contre la cybercriminalité (2024-2025), le Mexique a consolidé sa stature internationale, facilitant ainsi l’entraide judiciaire internationale.

Principales avancées opérationnelles

• montée en puissance du CERT-MX : en septembre 2025, l’équipe de réponse de la Garde nationale a franchi une étape clé en certifiant son niveau de maturité selon le modèle SIM3. Cette reconnaissance garantit sa capacité à protéger les infrastructures critiques.
• coordination de la cyberdéfense : une collaboration entre Microsoft et les agences locales a permis de démanteler des botnets et de mise hors service des versions piratées de l’outil Cobalt Strike.

Le Mexique prévoit de renforcer sa coopération internationale en s’appuyant sur les principales organisations régionales et internationales suivantes :

Organisations régionales (Amérique latine et Caraïbes)

• LAC4 (Centre de compétences cyber pour l’Amérique latine et les Caraïbes) : le Mexique a officialisé, en février 2026, son adhésion. Cet engagement avec ce forum d’échange incontournable lui permet d’accéder à des formations techniques de pointe, à des laboratoires de criminalistique numérique et à une plateforme de simulation de cyberattaques (« cyber range »).
• CSIRT Américas (OEA/CICTE) : sous l’égide du Comité interaméricain contre le terrorisme de l’Organisation des États américains (OEA), le Mexique souhaite participer activement en 2026 au partage 24h/24 et 7j/7 d’alertes sur les menaces cybernétiques et les identifiants compromis.
• Red Ciberlac: ce réseau, soutenu par la Banque interaméricaine de développement (BID), a pour mission de consolider l’excellence et les capacités en cybersécurité à l’échelle régionale.
• alliance numérique UE-ALC : à travers la stratégie « Global Gateway », le Mexique participe à des dialogues politiques de haut niveau et à des programmes de coopération technique financés par l’Union européenne, notamment sur les enjeux de cyberdiplomatie et de protection des infrastructures critiques.

Entités internationales et techniques

• FIRST (Forum of Incident Response and Security Teams) : le Mexique prévoit de rejoindre, d’ici 2027, ce réseau mondial incontournable en matière de réponse aux incidents de cybersécurité. Cette adhésion favorisera l’adoption de normes internationales, notamment le « Traffic Light Protocol » (TLP) pour la gestion des informations sensibles et le « Common Vulnerability Scoring System » (CVSS) pour l’évaluation des vulnérabilités.
• UIT (Union internationale des télécommunications – ITU) : une coopération étroite est envisagée afin de s’aligner sur les directives techniques et sur les cinq piliers de l’Indice mondial de cybersécurité (GCI).
• EU CyberNet : organisme de l’Union européenne fournissant un soutien technique et financier à des initiatives régionales, telles que le centre de de compétences cyber LAC4.

Organisations multilatérales (soutien technique et financier)

• Banque interaméricaine de développement (BID) : partenaire clé, la BID a directement accompagné l’élaboration du Plan national de cybersécurité mexicain. Elle reste un pilier majeur pour l’assistance technique et le renforcement des compétences à l’échelle régionale.
• Groupe de la Banque mondiale (GBM) : au-delà de son appui technique, le GBM produit des analyses économiques sur l’impact de la cybersécurité au sein des marchés émergents.

Perspectives 2026

En 2026, la fin des périodes transitoires prévues par les nouvelles réglementations marquera un tournant. Les entreprises négligentes dans la protection de leurs actifs numériques s’exposeront désormais à des sanctions effectives, calculées sur la base de leur chiffre d’affaires mondial.

Coupe du Monde de la FIFA 2026 : dans le cadre de ce tournoi coorganisé par le Canada, les États-Unis et le Mexique, l’Agence de transformation numérique et des télécommunications (ATDT) collaborera avec ses partenaires pour établir des protocoles de cybersécurité. L’objectif : sécuriser les infrastructures critiques, les services hôteliers et les plateformes numériques liés à l’événement.

*****

(1) Plan Nacional Ciberseguridad 2025–2030, déembre. 2025. https://www.portal.atdt.gob.mx/wp-content/uploads/2026/01/Plan_Nacional_de_Ciberseguridad-2.pdf

(2) Microsoft Digital Defense Report 2025: Government-Executive-Summary (octobre 2025)

(3) LFPDPPP (Ley Federal de Protección de Datos Personales en Posesión de Particulares Federal) loi fédérale sur la protection des données personnelles détenues par des entités privées (2025)

(4) LGPDPPSO (Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados), loi fédérale sur la protection des données personnelles détenues par des entités publiques (2025)

RUBÉN G. SOTELO PANIAGUA

mexico@lexing.network

Le Portugal a récemment transposé la directive (UE) 2022/2555 (directive NIS 2) dans son droit national, modernisant ainsi son cadre réglementaire en matière de cybersécurité (Décret-loi n° 125/2025 du 4 décembre). Cette réforme s’inscrit dans l’effort européen global visant à garantir un niveau commun élevé de cybersécurité au sein de l’Union, face à la sophistication croissante des cybermenaces et à la dépendance croissance des économies modernes envers les infrastructures numériques.

Le cadre portugais reflète l’évolution européenne vers un modèle de cybersécurité fondé sur le risque et axé sur la gouvernance. En élargissant le nombre d’entités soumises aux obligations de cybersécurité et en renforçant la surveillance institutionnelle, ce cadre vise à consolider la résilience des services critiques et à promouvoir une gestion plus structurée des risques informatiques, tant dans le secteur public que privé.

Élargissement du cadre réglementaire de la cybersécurité

Le nouveau régime, entré en vigueur en avril 2026, marque une évolution structurelle de la réglementation de la cybersécurité au Portugal. Alors que l’ancien cadre légal visait prioritairement les opérateurs de services essentiels et les fournisseurs de services numériques, ce nouveau dispositif étend considérablement son champ d’application. Son périmètre inclut désormais l’ensemble des acteurs dont les activités sont jugées stratégiques pour l’économie et la société.

La législation privilégie une approche préventive articulée autour de la gestion des risques. Les organisations doivent désormais instaurer des mesures techniques, opérationnelles et organisationnelles adaptées pour sécuriser leurs systèmes d’information, prévenir les cyberattaques et garantir une réponse efficace en cas d’incident. Dans les faits, la cybersécurité n’est plus perçue comme un simple enjeu technique, mais s’impose désormais comme un pilier de la gouvernance et de la résilience opérationnelle des entreprises.

Élargissement du champ d’application

L’une des innovations les plus marquantes du nouveau cadre réside dans l’extension des entités soumises aux obligations de cybersécurité, établie via une distinction entre entités essentielles, entités importantes et entités publiques pertinentes.

La catégorie des entités essentielles regroupe les organisations actives dans des secteurs jugés critiques pour le fonctionnement de l’économie et de la société, tels que l’énergie, les transports, la santé, les services bancaires et financiers, ainsi que les infrastructures numériques. Les entités importantes englobent, quant à elles, des secteurs tels que les services postaux et de courrier, la gestion des déchets, l’industrie manufacturière et divers services numériques, notamment les plateformes en ligne.

L’application de ce régime repose généralement sur un critère de taille et vise donc prioritairement les moyennes et grandes entreprises. Toutefois, certaines entités peuvent être assujetties à ce régime indépendamment de leur taille si la nature de leurs activités est jugée particulièrement critique. Le nouveau cadre s’étend également à une partie significative de l’administration publique portugaise, renforçant ainsi les obligations de cybersécurité au sein des institutions publiques.

Institutions responsables de la cybersécurité au Portugal

Sur le plan institutionnel, le nouveau cadre renforce la structure de gouvernance nationale chargée de superviser la cybersécurité. Le Centre national de cybersécurité (CNCS) est institué comme l’autorité nationale en la matière et se voit attribuer des pouvoirs de réglementation, de surveillance, de coordination des incidents et de coopération internationale.

La coordination stratégique de la politique de cybersécurité est assurée par le Conseil supérieur de la sécurité du cyberespace (CSSC), auquel incombe la coordination des politiques publiques nationales relatives à la sécurité du cyberespace.

Par ailleurs, la Commission d’évaluation de la sécurité (CAS) joue un rôle déterminant dans l’évaluation des équipements et services de communications électroniques susceptibles de porter atteinte aux intérêts nationaux. Si certaines technologies sont jugées à haut risque pour la sécurité, le gouvernement est habilité à imposer des restrictions sur leur utilisation.

Gestion des risques et notification d’incidents

Le nouveau cadre légal instaure des obligations de cybersécurité renforcées pour les entités assujetties. Les organisations doivent mettre en œuvre des mesures techniques, opérationnelles et organisationnelles proportionnées aux risques encourus. Ces dispositifs incluent des procédures de gestion d’incidents, des mécanismes visant à sécuriser la chaîne d’approvisionnement, le recours à la cryptographie si nécessaire, des systèmes de contrôle d’accès et l’adoption de pratiques de cyber-hygiène destinées à renforcer la résilience face aux cybermenaces.

Une innovation majeure porte sur la responsabilité directe des organes de direction. Les instances de gouvernance sont désormais chargées d’approuver et de superviser les politiques de gestion des risques informatiques au sein de leur structure. Les membres de ces organes peuvent voir leur responsabilité engagée en cas d’actes ou d’omissions commis avec intention ou par négligence grave dans l’exercice de leurs fonctions.

La législation établit par ailleurs un système de notification d’incident structuré. Les entités doivent signaler au CNCS tout incident à impact significatif par une notification initiale dans les 24 heures suivant sa découverte. Ce premier signalement doit être complété par une mise à jour sous 72 heures, à mesure que les informations s’affinent. Enfin, un rapport final doit être soumis dans les 30 jours ouvrables suivant la résolution de l’incident, afin de fournir une description exhaustive de l’événement, de ses conséquences et des mesures correctives déployées.

Régime de surveillance et de sanction

Le modèle de surveillance repose sur une double approche fondée sur le principe de proportionnalité. Les entités essentielles sont soumises à un régime de contrôle plus exigeant, pouvant donner lieu à des inspections, des audits et des mesures de vigilance préventive. Les entités importantes font généralement l’objet d’une surveillance ex post, l’autorité n’intervenant qu’à la suite d’incidents ou d’indices de non-conformité.

Afin de garantir l’efficacité du dispositif, la législation renforce également le cadre répressif. Tout manquement aux obligations de cybersécurité, qu’il s’agisse des exigences de notification ou des devoirs de diligence en matière de gestion des risques, est passible d’amendes administratives. Pour les infractions les plus graves commises par des entités essentielles, les sanctions peuvent atteindre 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial de l’entité, le montant le plus élevé étant retenu.

Conclusion

L’adoption du décret-loi n° 125/2025 marque une étape décisive dans la consolidation du cadre juridique de la cybersécurité au Portugal. Ce nouveau régime instaure une approche plus globale, préventive et exigeante, renforçant les obligations des entités publiques et privées tout en encourageant une responsabilisation accrue dans la gestion des risques numériques.

Pour les organisations opérant au Portugal, la conformité exige désormais des processus de gestion des risques structurés, une préparation accrue aux incidents et une supervision par les plus hautes instances de direction. Plus largement, cette évolution législative contribue à renforcer la résilience des infrastructures critiques nationales, tout en positionnant le Portugal comme un acteur actif de la construction d’un espace numérique européen plus sûr, plus fiable et plus résilient.

*****

(1) Décret-loi n° 125/2025 du 4 décembre, approuvant le Cadre Légal de la Cybersécurité au Portugal.

(2) Directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022.

(3) Proposition de Directive du Parlement européen et du Conseil sur des mesures pour un niveau commun élevé de cybersécurité à travers l’Union (2020).

JOÃO G. GIL FIGUEIRA

portugal@lexing.network

La loi sur la cybersécurité de 2018 (Cybersecurity Act 2018) constitue le pilier législatif de Singapour en la matière. Elle définit une structure pour la gestion des cybermenaces, encadre certains services de cybersécurité et instaure la Cyber Security Agency of Singapore (CSA) comme l’autorité de référence.

Infrastructure critique d’information

Le Commissaire à la cybersécurité, qui dirige la CSA, est habilité à classer un système informatique comme infrastructure d’information critique (CII) si celui-ci est indispensable à la continuité d’un service essentiel (tel que les télécommunications, la santé, la finance ou l’énergie), et que sa perte ou sa compromission risquerait de paralyser la fourniture de ce service à Singapour. (1)

Il est à noter que la localisation géographique n’est pas un obstacle : un système peut être qualifié de CII même s’il est situé en dehors de Singapour, dès lors qu’il est indispensable à la fourniture d’un service essentiel à Singapour. Ce statut est valable pour une durée de cinq ans, renouvelable ou révocable.

Une fois désignés, les systèmes CII sont soumis à une surveillance accrue en matière de cybersécurité. Leurs exploitants doivent satisfaire à plusieurs obligations clés, notamment le partage d’informations techniques avec le régulateur, la conduite régulière d’audits et d’évaluations des risques, ainsi que la notification obligatoire de certains incidents de cybersécurité.

Même lorsqu’un système CII est détenu par un tiers, le fournisseur du service essentiel peut demeurer responsable de sa conformité aux exigences réglementaires et aux normes de cybersécurité en vigueur.

Systèmes présentant un risque temporaire en matière de cybersécurité

Le Commissaire à la cybersécurité a également le pouvoir de désigner un système comme présentant un risque temporaire en matière de cybersécurité. Cette mesure s’applique en cas de cybermenace élevée mais temporaire et si la perte ou la compromission du système risque de porter gravement préjudice à la sécurité nationale, la défense, les relations internationales, l’économie, la santé publique, la sécurité publique ou l’ordre public du pays. Ce statut est valable pour une durée d’un an, sous réserve de retrait ou de prolongation (2).

Les systèmes ainsi désignés sont assujettis à des obligations analogues à celles des systèmes CII.

Prestataires de services de cybersécurité

La fourniture de services de SOC (centres d’opérations de sécurité) managé et de tests d’intrusion est une activité régulée à Singapour. Elle requiert une licence de prestataire de services de cybersécurité, délivrée par l’Office de régulation des services de cybersécurité. (3)

L’octroi d’une telle licence est conditionné par l’honorabilité et la probité du demandeur. Ce dernier ne doit notamment pas avoir fait l’objet de condamnations pénales ou civiles pour fraude, malhonnêteté ou manquement à ses obligations fiduciaires, ni se trouver en état de liquidation ou de dissolution.

*****

(1) Loi sur la cybersécurité de 2018, Sections 7 et 16A.

(2) Loi sur la cybersécurité de 2018, Section 17.

(3) Loi sur la cybersécurité de 2018, Section 24.

WINNIE CHANG

singapore@lexing.network

La Suède a franchi une étape décisive dans le renforcement de sa résilience numérique nationale avec l’adoption de la loi sur la cybersécurité (Cybersäkerhetslag 2025:1506), entrée en vigueur le 15 janvier 2026. Issue de la transposition de la directive européenne NIS 2, cette nouvelle législation redéfinit les modalités de gestion des risques informatiques pour les autorités publiques et les principaux opérateurs privés. Face à l’omniprésence des systèmes numériques au sein des fonctions vitales de la société, la loi instaure un socle d’exigences modernes visant à garantir la disponibilité, l’intégrité et la confidentialité des systèmes d’information essentiels.

Les enjeux de la loi

La loi sur la cybersécurité vise à instaurer un niveau de protection élevé et uniforme au sein de la société suédoise. Les cyber-incidents, qu’ils résultent d’actes malveillants, de défaillances techniques ou de failles dans la chaîne d’approvisionnement, sont susceptibles de troubler l’ordre public, de saper la confiance envers les services numériques et de générer des préjudices économiques. Par conséquent, la législation impose aux organisations d’adopter des stratégies de sécurité proactives plutôt que de se limiter à des mesures réactives.

Le texte se concentre sur la protection des « systèmes de réseaux et d’information », définis comme les réseaux de communications électroniques et les dispositifs de traitement automatisé de données. L’objectif est de sécuriser l’infrastructure vitale sur laquelle reposent l’administration publique et l’économie suédoise, fortement axée sur l’innovation.

Transposition nationale de la directive NIS 2

Cette nouvelle loi transpose la directive européenne NIS 2 (2022/2555). À l’instar des autres États membres, la Suède aligne sa réglementation sur l’objectif européen d’un « niveau commun élevé de cybersécurité ». Toutefois, elle a pris des dispositions nationales spécifiques qui durcissent les obligations au-delà du socle minimal de l’UE, notamment : (i) l’inclusion explicite de l’ensemble des autorités étatiques, municipalités et régions ; (ii) l’extension de la mise en conformité à l’intégralité de l’environnement informatique d’une organisation dès lors qu’elle exerce une activité régulée (ex: fabrication de dispositifs médicaux), et non plus aux seuls systèmes liés au service critique ; et (iii) l’instauration d’une procédure juridique permettant d’interdire aux dirigeants l’exercice de fonctions de direction (pour une durée d’un à trois ans) en cas de négligence grave ou de faute intentionnelle. Les établissements d’enseignement privés sont également intégrés au dispositif. Ces choix illustrent la volonté de la Suède de se doter d’un régime de cybersécurité exhaustif.

Champ d’application

La loi sur la cybersécurité s’applique à un vaste panel d’entités dont la défaillance impacterait la collectivité. Sont ainsi concernés : les autorités nationales dont les décisions influent sur la libre circulation des biens, des services, des personnes ou des capitaux ; les collectivités territoriales et leurs groupements ; ainsi que les entreprises privées établies en Suède répondant aux critères de taille (moyennes et grandes entreprises). Certains prestataires y sont assujettis indépendamment de leur taille, notamment les exploitants de réseaux de communications électroniques, les prestataires de services de confiance qualifiés, les fournisseurs de cloud, de centres de données et d’infrastructures numériques.

Opérateurs essentiels et importants

Le texte établit une distinction entre les opérateurs essentiels (autorités publiques, collectivités et grandes entreprises des secteurs critiques de l’Annexe I de NIS 2 : énergie, santé, transports, etc.) et les opérateurs importants (autres entités entrant dans le champ d’application de la loi). Cette classification détermine l’intensité de la surveillance et le barème des sanctions.

Obligations des opérateurs

Tous les opérateurs doivent satisfaire à des obligations de gestion des risques, de sécurisation, de responsabilité des dirigeants et de formation. Ils doivent déployer des mesures techniques et organisationnelles proportionnées aux enjeux. La loi impose une approche « tous risques » incluant les cyberattaques, les risques physiques, la sécurité de la chaîne d’approvisionnement, la cryptographie et la continuité d’activité. En outre, la cybersécurité doit désormais être intégrée à la gouvernance stratégique. Les instances dirigeantes ont l’obligation de suivre une formation dédiée et, en cas de manquement grave, les responsables peuvent être temporairement frappés d’une interdiction d’exercer, particulièrement au sein des opérateurs essentiels. Enfin, toutes les entités concernées doivent se recenser auprès de l’Agence pour la défense civile (MCF) via son portail ouvert depuis le 2 février 2026.

Supervision et mise en œuvre

La conformité est contrôlée par diverses autorités sectorielles, notamment : l’Agence de l’énergie (Energimyndigheten) ; l’Agence des transports (Transportstyrelsen) ; l’Autorité de surveillance financière (Finansinspektionen) ; l’Inspection de la santé et des services sociaux (IVO) ; l’Agence des produits médicaux (Läkemedelsverket) ; ou encore les Conseils administratifs de comté pour la gestion des déchets et l’industrie.

Les opérateurs essentiels font l’objet d’audits périodiques, tandis que les opérateurs importants sont contrôlés en cas de suspicion de manquement. Les autorités disposent d’un droit de communication de documents, de pouvoirs d’inspection et d’un droit d’accès aux locaux professionnels.

Sanctions financières

La loi introduit des amendes administratives dissuasives :

• Opérateurs Essentiels : jusqu’à 2 % du chiffre d’affaires annuel mondial ou 10 M€ (le montant le plus élevé étant retenu).
• Opérateurs Importants : jusqu’à 1,4 % du chiffre d’affaires ou 7 M€.
• Autorités publiques : plafonnées à 10 millions de SEK.

Les manquements les plus graves peuvent entraîner des interdictions de gérer.

Articulation avec DORA

Pour le secteur financier, le principe de lex specialis s’applique : le règlement DORA prévaut sur la loi nationale pour ce qui concerne la résilience opérationnelle et le signalement. Les entités couvertes par DORA sont dispensées des obligations de sécurité et de notification de la loi sur la cybersécurité, mais restent tenues de s’enregistrer afin de garantir une connaissance globale de la situation nationale et d’éviter toute double réglementation.

Conclusion

La loi suédoise sur la cybersécurité marque un tournant majeur dans la gouvernance numérique du pays. En couplant l’harmonisation européenne à des exigences nationales ambitieuses, elle sanctuarise la résilience des institutions et des acteurs privés. Le message est clair : la cybersécurité est désormais le socle indispensable de la stabilité, de la confiance et de la prospérité économique.

*****

(1) La Loi suédoise sur la cybersécurité (Cybersäkerhetslag 2025:1506)

(2) Le Règlement suédois sur la cybersécurité – Cybersäkerhetsförordning (2025:1507)

(3) Digital Operational Resilience Act (DORA)

(4) Directive NIS 2

KATARINA BOHM HALLKVIST
&
ANDRES ALMA

sweden@lexing.network