NIS 2 : pourquoi seuls trois des 27 membres de l’UE sont prêts ?

À moins de deux mois de l’échéance du 17 octobre 2024, seuls trois des 27 États membres de l’Union européenne — la Belgique, la Croatie et la Hongrie — ont adopté les lois nécessaires pour transposer la directive Network and Information Security 2 (NIS 2) dans leur législation nationale. Cette directive, pourtant cruciale pour renforcer la cybersécurité des infrastructures critiques, peine à être mise en œuvre de manière uniforme à travers l’Europe. Pourquoi un tel retard alors que le temps presse ?

La directive NIS 2 marque une évolution significative par rapport à sa prédécesseure, NIS 1. Elle ne se contente pas d’étendre son champ d’application à 18 secteurs — contre 10 précédemment — elle le fait avec une ambition sans précédent. Désormais, des domaines aussi divers que l’énergie, la santé, la finance, et même l’alimentation sont soumis à des exigences de cybersécurité strictes. Cette expansion n’est pas fortuite : les cybermenaces se multiplient, se perfectionnent, et ciblent de plus en plus d’entités, y compris celles qui étaient jusqu’ici plus épargnées.

Comparaison entre NIS 1 et NIS 2

La complexité de la directive NIS 2 est sans doute l’une des principales raisons du retard dans sa transposition par de nombreux États membres. La directive exige des changements significatifs dans la gestion des risques cybers, dans bien des processus internes, et, surtout, dans la responsabilité des dirigeants. Cette révision en profondeur des cadres législatifs nationaux s’avère être un processus long et souvent politisé.

Extension du champ d’application : Là où NIS 1 se concentrait principalement sur les opérateurs de services essentiels et les fournisseurs de services numériques, NIS 2 inclut désormais des secteurs critiques comme la santé et les infrastructures numériques, reflétant une prise de conscience accrue des risques encourus.

Obligations de reporting : Les exigences de déclaration des incidents sous NIS 2 sont plus strictes, imposant des délais précis pour chaque étape du processus de notification, une mesure cruciale pour une réponse rapide et coordonnée aux cyberattaques.

Supervision et sanctions : Avec NIS 2, la surveillance se fait plus rigoureuse. Des audits réguliers sont désormais la norme, et les sanctions pour non-conformité se sont durcies, renforçant la responsabilité des entreprises.

Responsabilité de la direction : Contrairement à NIS 1, NIS 2 impose une responsabilité personnelle aux dirigeants, les rendant directement comptables de la mise en œuvre des mesures de cybersécurité. Un changement reflète non seulement la gravité accrue des cybermenaces mais aussi la nécessité d’une gestion pro-active au plus haut niveau.

Le frein à la transposition : sa complexité juridique et administrative

Près de deux mois avant la date limite fixée par l’Union européenne, seuls trois des 27 États membres – la Belgique, la Croatie et la Hongrie – ont adopté des lois pour la mise en œuvre de la directive NIS 2. D’autres pays ont progressé, mais la situation reste floue pour des États comme l’Irlande, la Suède et l’Espagne, où peu d’informations ont été communiquées sur l’avancement des travaux législatifs.

En Allemagne, bien que le processus soit documenté, le pays ne respectera probablement pas le délai. Le projet de loi, s’il est approuvé, pourrait entrer en vigueur au printemps 2025. Le Danemark et les Pays-Bas, pour leur part, ont reporté l’examen de leurs propositions respectives à la prochaine législature pour une adoption début 2025, invoquant la complexité de la tâche. L’Autriche a vu son projet de loi échouer en juillet au Conseil national, et une nouvelle tentative n’est attendue qu’après les élections de septembre.

Certains pays, comme la Pologne et la République tchèque, adaptent la directive en ajoutant des sous-catégories spécifiques ou en élargissant son champ d’application. En Hongrie, une classification stricte des systèmes informatiques est imposée sans distinction entre les installations essentielles et importantes.

Globalement, tandis que quelques États suivent de près le texte de la directive, d’autres sont confrontés à des défis législatifs ou choisissent d’introduire des adaptations spécifiques, risquant de retarder l’uniformité de la mise en œuvre à l’échelle européenne.

La France n’est pas un cas unique

En France, par exemple, même si un texte législatif formel attend un calendrier parlementaire, l’incertitude persiste, notamment en ce qui concerne l’intégration ou non de certaines collectivités territoriales dans le cadre de la directive. Ce texte embarque d’ores et déjà dans l’aventure NIS2 les communes ayant une population supérieure à 30 000 habitants, les communautés de communes et établissements publics de coopération intercommunale (EPCI) avec fiscalité propre dont les activités s’inscrivent dans des secteurs d’activité jugés hautement critiques ou critiques ainsi que les EPCI sans fiscalité propre, s’ils exercent leurs activités dans des secteurs jugés hautement critiques ou critiques et si leurs effectifs excèdent les seuils définis par voie réglementaire. Mais ce texte doit dorénavant être discuté et amendé, ce qui est loin d’être la priorité du moment.

Un cadre fragmenté, défi pour les entreprises multinationales

Pour les entreprises opérant dans plusieurs pays de l’UE, la transposition inégale de NIS 2 pose un défi de taille. Elles doivent composer avec un cadre réglementaire fragmenté, où les obligations varient non seulement d’un pays à l’autre, mais aussi en termes de calendrier d’application. Cette disparité complique la gestion des risques et rend la conformité d’autant plus difficile, surtout pour les entreprises qui pourraient être tenues de respecter des règles plus strictes dans certains pays, bien avant que d’autres n’aient finalisé leur législation.
En attendant, les entreprises doivent rester vigilantes, s’adapter aux différentes exigences nationales, et surtout, se préparer à naviguer dans un paysage réglementaire de plus en plus complexe et contraignant.

Les prochains mois seront déterminants. Dans cette course contre la montre, seuls les plus proactifs réussiront à éviter les sanctions sévères qui accompagnent la non-conformité à NIS 2 même si l’on sait déjà que les dates d’application vont forcément glisser.

Carte récapitulative de l’état de la transposition de la directive NIS 2
dans les États membres de l’UE

L’état d’avancement de la transposition de la directive NIS 2 varie considérablement d’un pays à l’autre, avec quelques États membres ayant déjà finalisé le processus, tandis que d’autres accusent un retard important. (Source : https://www.mayerbrown.com/)

Abonnez-vous à la newsletter hebdo d'IT for Business !

Rejoignez notre liste de diffusion pour recevoir toutes les semaines une sélection d'articles et quelques autres surprises préparées spécialement pour vous par notre rédaction.

ABONNEZ-VOUS !

Nous vous envoyons un e-mail de validation !