Renforcer la cybersécurité : Nouvelles obligations de la JMD 1689/2025 selon la loi 5160/2024

Dans le cadre de la Stratégie Nationale de Cybersécurité de la Grèce, la Décision Ministérielle Conjointe (DMC) No. 1689/2025 fixe des mesures techniques, opérationnelles et organisationnelles détaillées pour les entités relevant de l’Article 4 de la loi 5160/2024. Ce nouveau règlement s’appuie sur des principes clés tels que la proportionnalité et la responsabilité, adoptant une approche compréhensive de “tous les risques” en matière de cybersécurité.

Un développement marquant est l’attribution claire des responsabilités à la plus haute autorité administrative de l’entité, qui est désormais chargée d’approuver, de mettre en œuvre, de superviser et d’évaluer le programme de cybersécurité. Les entités doivent également préparer et suivre un plan de traitement des risques, basé sur des évaluations des risques structurées et des politiques formelles de cybersécurité.

Selon leur rôle et leur taille, les organisations doivent assigner des responsabilités au personnel et désigner un responsable de la sécurité des systèmes d’information et de communication (Responsable ICS). D’autres obligations incluent la vérification des antécédents et une formation à la sensibilisation à la cybersécurité pour le personnel.

Les exigences en matière de sécurité s’étendent aux audits indépendants, qu’ils soient internes ou externes, ainsi qu’à une évaluation continue de la conformité et à des mesures correctives si nécessaire. Un inventaire actuel des actifs informatiques, classé par vulnérabilité et niveau de protection, doit également être tenu à jour.

D’autres obligations s’appliquent aux relations avec les prestataires de services informatiques externes. Celles-ci incluent la transparence à travers des catalogues de services, une évaluation continue, et l’application de conditions plus strictes pour les fournisseurs de services critiques.

Les entités doivent également mettre en œuvre de solides mécanismes de contrôle d’accès, utilisant des identifiants personnalisés, l’authentification à plusieurs facteurs et des configurations système sécurisées. Les protections techniques incluent l’analyse des vulnérabilités, les mises à jour de sécurité, les processus de réponse aux failles zéro-day, et les tests d’intrusion, avec des actions de suivi si nécessaire. Des pare-feu, une segmentation du réseau et une protection du Système de Noms de Domaine (DNS) sont également exigés.

Parmi d’autres mesures, on retrouve la détection de malwares, la sécurité des courriers électroniques, et des protections contre l’accès à des sites web malveillants. Les contrôles cryptographiques, la sécurité d’accès physique et les mécanismes de supervision complètent l’ensemble de ces mesures techniques et opérationnelles.

Cette décision établit un cadre pour un programme de cybersécurité intégré et efficace qui anticipe les risques, impose des mesures préventives et veille à la préparation à répondre ou à se remettre en cas de besoin.

Ballas Pelecanos Law offre un soutien juridique stratégique aux entités soumises à des obligations de cybersécurité et de protection des données, tant en vertu du droit grec que du droit de l’UE. Notre équipe aide les clients à élaborer des politiques internes, à garantir la conformité et à gérer leur exposition juridique dans un environnement numérique en constante évolution.

Le contenu de cet article vise à fournir un aperçu général du sujet. Un avis spécialisé doit être sollicité en fonction de votre situation spécifique.