Frameworks

NIS2 en Slovénie : ce que ZInfV-1 signifie pour votre organisation

Guide de conformité NIS2 Slovénie à la loi Zakon o informacijski varnosti. Voir le champ d'application, les obligations de gestion, les contrôles des risques, la notification des incidents et les mesures à mettre en œuvre.

Tuomas Pitkänen
6 février 2026
@

Contenu de l'article

Collection ISO 27001
NIS2 en Slovénie : ce que ZInfV-1 signifie pour votre organisation
Collection NIS2
NIS2 en Slovénie : ce que ZInfV-1 signifie pour votre organisation
Cyberday blog
NIS2 en Slovénie : ce que ZInfV-1 signifie pour votre organisation

La Slovénie a transposé la directive NIS2 de l'UE dans sa législation nationale par le biais de la loi sur la sécurité de l'information, ZInfV-1 (Zakon o informacijski varnosti). Dans la pratique, la ZInfV-1 transpose les exigences de la directive NIS2 dans un règlement slovène : qui est concerné, qu'est-ce qu'une « bonne sécurité », comment les incidents doivent être signalés et que se passe-t-il si une organisation ne respecte pas ses obligations.

L'objectif est simple : relever le niveau de base de la cyber-résilience dans l'ensemble de l'économie slovène et rendre les attentes contraignantes, et non facultatives.

Ce que ZInfV-1 tente de réaliser

ZInfV-1 considère la cyber-résilience comme une question de fiabilité nationale, et non comme un simple problème informatique. Les perturbations numériques peuvent rapidement affecter la confiance du public, la stabilité économique et la continuité des services essentiels.

La loi incite les organisations à :

  • Prévention, grâce à la gestion des risques et aux contrôles avant que les incidents ne se produisent
  • Transparence, grâce à un système structuré de signalement des incidents
  • Réponse coordonnée, afin que les autorités et les organisations puissent réagir plus rapidement
  • Responsabilité des dirigeants: faire de la cybersécurité une responsabilité managériale

Cela reflète l'objectif principal de la directive NIS2 dans l'ensemble de l'UE : renforcer la résilience de base dans les secteurs où une perturbation aurait des conséquences sociétales plus importantes.

Le passage pratique des recommandations aux exigences contraignantes

Le ZInfV-1 va au-delà des recommandations volontaires et introduit un cadre structuré et applicable pour la gestion des risques, le signalement des incidents et la surveillance. L'objectif est d'imposer des normes minimales cohérentes dans tous les secteurs, tout en laissant aux organisations une certaine flexibilité dans la mise en œuvre des contrôles.

Qui est concerné par le ZInfV-1 ?

La mise en œuvre slovène de la directive NIS2 suit la directive européenne en mettant l'accent sur la distinction entre les entités essentielles et importantes, avec des obligations proportionnelles à l'impact et au risque. Elle élargit la couverture au-delà des « infrastructures critiques » traditionnelles en se concentrant sur l'impact social ou économique probable en cas de perturbation d'une organisation.

La loi ne repose pas sur une liste restrictive. Au contraire, son champ d'application est déterminé à l'aide d'un prisme plus réaliste : la taille, le rôle dans la société ou l'économie, et l'impact qu'aurait une panne.

Entités essentielles et importantes

Les secteurs concernés par l'élargissement du champ d'application comprennent des domaines tels que l'énergie, les transports, la santé, les infrastructures numériques, l'administration publique et les industries privées dont la paralysie pourrait avoir des répercussions importantes.

Dans ce modèle, être « critique » ne se résume pas à votre étiquette industrielle. Les dépendances numériques peuvent rendre les organisations critiques en raison de leur position dans une chaîne de valeur ou parce qu'elles soutiennent de nombreuses autres organisations.

Exclusions et proportionnalité

Le ZInfV-1 clarifie les exclusions et les seuils. Certaines microentreprises sont exclues, sauf si elles exercent des fonctions essentielles. Les organismes du secteur public sont généralement inclus, compte tenu de leur rôle central dans la prestation de services.

La proportionnalité est renforcée tout au long de la loi. Les obligations sont formulées en termes de gestion des risques plutôt que de prescriptions techniques rigides. Les petites organisations peuvent être soumises à des exigences moins strictes, tandis que les entités plus importantes ou plus exposées aux risques sont tenues de mettre en œuvre des contrôles plus complets.

Gouvernance : la cybersécurité devient une responsabilité managériale

L'un des principes fondamentaux de la ZInfV-1 est que la cybersécurité relève de la gouvernance. La loi attribue explicitement cette responsabilité aux organes de direction et attend des hauts dirigeants qu'ils s'impliquent activement, et non qu'ils se contentent d'approuver les budgets a posteriori.

Cela reflète l'un des changements fondamentaux apportés par la norme NIS2 : la cybersécurité n'est plus seulement une responsabilité technique, mais une obligation de gouvernance au niveau du conseil d'administration.

Responsabilité des dirigeants

Les cadres supérieurs doivent approuver les mesures de gestion des risques liés à la cybersécurité et superviser leur mise en œuvre. Cela fait passer la cybersécurité du statut de question technique à celui de priorité pour la direction.

Les organes de direction sont également tenus de sensibiliser leurs collaborateurs aux questions fondamentales de cybersécurité. L'objectif n'est pas de transformer les cadres en ingénieurs en sécurité, mais de s'assurer qu'ils sont en mesure de prendre des décisions éclairées et de remettre en question les lacunes.

Politiques et contrôles internes

Les organisations concernées doivent établir des politiques documentées couvrant l'évaluation des risques, la gestion des incidents, la continuité des activités et la sécurité de la chaîne d'approvisionnement. Ces politiques constituent la base de la conformité, car elles démontrent l'intention, l'approche et la cohérence.

Les contrôles internes doivent être régulièrement revus et mis à jour. La loi encourage l'amélioration continue, reconnaissant que les menaces évoluent et que les contrôles statiques perdent rapidement leur efficacité.

Obligations en matière de gestion des risques : se concentrer sur les résultats, pas sur les outils

La loi ZInfV-1 impose aux organisations concernées de mettre en œuvre des mesures techniques et organisationnelles appropriées pour gérer les risques liés à la cybersécurité. Elle n'impose pas de technologies spécifiques, mais se concentre plutôt sur les résultats et les objectifs de résilience.

Cette approche offre une certaine souplesse, mais elle rend également plus difficile la justification de vos choix. Vous devez démontrer que les mesures sont fondées sur les risques et efficaces dans votre contexte.

Mesures de sécurité fondamentales

Les mesures types prévues dans le cadre du ZInfV-1 comprennent :

  • Contrôle d'accès et gestion des identités
  • Inventaire des actifs et cartographie des systèmes critiques
  • Capacités de détection et de surveillance des incidents
  • Procédures de sauvegarde et planification de la reprise après sinistre
  • Pratiques sécurisées en matière de développement et de gestion du changement

Les évaluations des risques sont une obligation récurrente. Les organisations doivent identifier les actifs critiques, évaluer les menaces et mettre en œuvre des contrôles qui réduisent les risques à un niveau acceptable.

Sécurité de la chaîne d'approvisionnement

Une caractéristique notable de cette loi est l'accent mis sur la sécurité de la chaîne d'approvisionnement. Les organisations concernées sont tenues de prendre en considération la posture de cybersécurité de leurs principaux fournisseurs et prestataires de services.

Le risque lié à la chaîne d'approvisionnement est un thème majeur dans la directive NIS2, qui reconnaît que de nombreux incidents graves trouvent désormais leur origine dans des attaques indirectes par des tiers plutôt que dans des attaques directes.

Signalement des incidents et réponse : attentes claires

Le ZInfV-1 introduit des obligations claires en matière de signalement des incidents, destinées à favoriser la connaissance de la situation au niveau national et la coordination des interventions. Il vise à trouver un équilibre : une visibilité rapide pour les incidents importants sans noyer les autorités sous des rapports sur des événements mineurs.

Pour que cela fonctionne, les organisations doivent être prêtes à établir des rapports et disposer de processus internes permettant de gérer les incidents de bout en bout.

Délais et seuils de déclaration

Les organisations concernées doivent notifier les incidents significatifs à l'autorité compétente dans des délais définis. Les notifications initiales mettent l'accent sur la prise de conscience précoce, suivies de rapports plus détaillés à mesure que les informations deviennent disponibles.

La loi définit l'importance en fonction de l'impact, de la durée et de la portée géographique. Cela aide les organisations à déterminer quand elles doivent faire rapport et évite les notifications excessives pour les problèmes à faible impact.

Gestion des incidents et apprentissage

Au-delà du signalement, les organisations doivent mettre en place des processus internes de réponse aux incidents, notamment en matière de détection, de confinement, de rétablissement et d'examen post-incident.

La loi encourage implicitement une culture de l'apprentissage. L'analyse post-incident devrait être intégrée dans la gestion des risques, dans le but de réduire la récurrence et d'améliorer la résilience au fil du temps.

Supervision et application

La ZInfV-1 désigne les autorités nationales compétentes chargées de la surveillance et de l'application de la loi. Ces autorités peuvent demander des informations, effectuer des inspections et émettre des instructions contraignantes afin de s'assurer que les organisations respectent leurs obligations.

La surveillance est censée être fondée sur les risques, ce qui signifie que les secteurs et les entités ayant un impact plus important peuvent faire l'objet d'une surveillance plus étroite. La loi prévoit également des amendes administratives et des mesures correctives en cas de non-conformité, l'accent étant mis sur le rétablissement de la conformité et la réduction du risque systémique plutôt que sur la seule sanction.

Comment ZInfV-1 répond aux autres exigences

Le ZInfV-1 (et le NIS2 en général) n'existe pas de manière isolée. Les organisations couvertes par la loi ont déjà des obligations qui se recoupent en vertu d'autres règles européennes et nationales, en particulier dans des domaines tels que la protection des données, la réglementation sectorielle et la gestion des risques opérationnels.

Dans la pratique, la conformité fonctionne mieux lorsque ZInfV-1 est considéré comme faisant partie intégrante de votre structure de gouvernance existante, et non comme un projet distinct en matière de cybersécurité.

Pour de nombreuses organisations, les principaux points de chevauchement sont les suivants :

  • RGPD et violations des données à caractère personnel: nécessité de coordonner les processus de gestion des incidents et de notification
  • Organismes de réglementation sectoriels, notamment dans les domaines de la finance, de l'énergie, des transports et de la santé
  • Programmes de continuité des activités et de résilience opérationnelle, qui couvrent souvent déjà la disponibilité des services critiques
  • Contrôles des fournisseurs et de l'externalisation, car le risque lié aux tiers est désormais une exigence formelle en vertu de la ZInfV-1.

ZInfV-1 soutient également la coordination au niveau européen grâce au partage d'informations et à des mécanismes d'intervention transfrontaliers. Cela est important car les incidents majeurs peuvent impliquer des fournisseurs, des infrastructures ou avoir des répercussions qui dépassent les frontières de la Slovénie.

La conclusion principale est simple : les organisations doivent intégrer le ZInfV-1 dans leurs processus existants de conformité et de gestion des risques, plutôt que de créer des processus parallèles à partir de zéro.

Implications pratiques : par quoi commencer ?

Pour les organisations qui se conforment aux obligations NIS2 dans d'autres pays de l'UE, la ZInfV-1 leur semblera familière, car elle applique la même structure sous-jacente par l'intermédiaire des autorités slovènes.

La plupart des travaux de mise en conformité impliqueront des changements au niveau de la gouvernance, de la documentation et des routines opérationnelles. Des outils peuvent aider, mais les lacunes les plus courantes concernent la propriété, les preuves et la répétabilité.

Une approche progressive fonctionne bien : commencez par la gouvernance et les risques les plus élevés, puis élargissez la couverture et la maturité au fil du temps.

Un plan de démarrage pratique pourrait être :

  1. Vérifiez si vous êtes susceptible d'être considéré comme une entité essentielle ou importante au sens du ZInfV-1.
  2. Attribuer clairement les responsabilités (supervision par le conseil d'administration/la direction et responsable opérationnel).
  3. Formalisez les principes fondamentaux : gestion des risques, réponse aux incidents, continuité des activités, attentes en matière de sécurité des fournisseurs.
  4. Effectuez une évaluation des risques liée aux services et aux actifs réels, puis hiérarchisez les lacunes.
  5. Testez les processus de réponse aux incidents et de signalement afin que les délais et les escalades soient réalistes.
  6. Examinez les fournisseurs qui peuvent avoir une incidence sur la disponibilité, l'intégrité ou la confidentialité des services clés.

FAQ

Le ZInfV-1 s'applique-t-il à mon organisation ?

Si vous opérez dans un secteur essentiel ou important et que votre perturbation pourrait avoir un impact sociétal ou économique significatif, vous pourriez être concerné. La taille, la fonction et le profil de risque font généralement partie de l'évaluation. Les petites organisations peuvent tout de même être incluses si elles remplissent des fonctions critiques.

Quel est le changement le plus important par rapport aux prévisions précédentes ?

Responsabilité et applicabilité. La ZInfV-1 fait de la cybersécurité une responsabilité de la direction et introduit des pouvoirs de supervision, d'inspection et de correction. Elle élargit également son champ d'application au-delà d'un groupe restreint d'opérateurs.

Faut-il utiliser des normes ou des outils spécifiques pour se conformer à ces exigences ?

En général, non. La loi est axée sur les résultats et neutre sur le plan technologique. Vous pouvez choisir les normes et les outils qui conviennent à votre environnement, à condition de pouvoir démontrer que des mesures fondées sur les risques ont été mises en place et que des contrôles sont effectués et maintenus.

Que faut-il privilégier lorsque l'on part de zéro ?

Commencez par la gouvernance et les bases : attribuez les responsabilités, documentez les politiques clés (risques, réponse aux incidents, continuité, sécurité des fournisseurs), effectuez une évaluation réaliste des risques liés aux services et aux actifs, et testez la gestion et le signalement des incidents afin de pouvoir respecter les délais même sous pression.