Principaux renseignements
- Seule la Belgique a pleinement mis en œuvre la directive sur la sécurité des réseaux et de l’information 2 (NIS2).
- La Croatie n’a que partiellement transposé la NIS2.
- Les autres pays de l’UE ont jusqu’au 17 octobre pour mettre en œuvre la NIS2.
Seules la Belgique et la Croatie ont officiellement informé la Commission européenne de leur adhésion à la réglementation actualisée en matière de cybersécurité pour les entités critiques. Cette notification intervient une semaine avant la date limite fixée pour les 27 États membres de l’UE. Un porte-parole de la Commission a confirmé que la Belgique a pleinement mis en œuvre la directive sur la sécurité des réseaux et de l’information 2 (NIS2), tandis que la Croatie ne l’a fait que partiellement.
Les autres pays ont jusqu’au 17 octobre pour mettre en œuvre la NIS2, qui a été approuvée en 2022 pour protéger les secteurs critiques tels que l’énergie, les transports, la finance, l’eau et les infrastructures numériques contre d’importantes cyberattaques. En mars, la Croatie a été le premier et le seul pays à annoncer sa transposition partielle à la Commission.
Principales dispositions du NIS2
La directive révisée vise à renforcer la résilience en matière de cybersécurité dans toute l’Europe en réponse à la numérisation croissante et à l’évolution des menaces. La précédente directive NIS1, introduite en 2016, s’est avérée inadéquate pour renforcer la cyber-résilience au sein des entreprises de l’UE et favoriser la gestion collaborative des crises.
La directive NIS2 oblige les entreprises à émettre des alertes dans les 24 heures et à fournir des rapports d’incident dans les 72 heures suivant des perturbations opérationnelles importantes causées par des cyberincidents. En cas de non-respect de ces obligations, les entreprises s’exposent à de lourdes amendes pouvant aller jusqu’à 10 millions d’euros ou 2 pour cent du chiffre d’affaires mondial, le montant le plus élevé étant retenu.
Défis de mise en œuvre
Un rapport récent de la commission parlementaire mixte française pour les affaires numériques et postales souligne le manque de sensibilisation des entreprises aux exigences du NIS2. La commission, qui a mené des consultations avec des parties prenantes, notamment des responsables de la cybersécurité, des développeurs de logiciels et des associations de l’informatique en nuage entre mars et mai, a conclu que le délai de transposition pose des défis importants pour les entités nouvellement visées par la directive.
Le rapport souligne que nombre de ces nouvelles entités ne connaissent pas les mesures et les critères nécessaires pour évaluer leur conformité. En outre, il note que le projet de loi n’a pas encore été présenté au Conseil des ministres, ce qui laisse planer une incertitude sur son avenir à l’approche de la date butoir du 17 octobre. L’Allemagne prévoit de mettre en œuvre la législation NIS2 au début de l’année 2025.
Si vous souhaitez accéder à tous les articles, abonnez-vous ici!