Des secteurs critiques sont préoccupés par le manque de clarté et de préparation aux règles de cybersécurité dans la plupart des États membres de l’UE.
La plupart des États membres de l’UE ne respecteront pas le délai de mise en œuvre fixé aujourd’hui (17 octobre) pour mettre en œuvre des règles visant à protéger les entités critiques contre les cyberattaques, et les organisations s’inquiètent également de la fragmentation de ces règles.
L’Observatoire de l’Europe a rapporté la semaine dernière que la Commission européenne n’avait jusqu’à présent reçu que des confirmations de la Belgique et de la Croatie concernant la transposition de la directive sur la sécurité des réseaux et de l’information (NIS 2). Un porte-parole de la Commission a déclaré le 16 octobre que, depuis cette semaine, l’Italie et la Lituanie avaient également partiellement mis en œuvre les règles.
Des pays comme l’Allemagne, les Pays-Bas, la Suède et la Tchéquie ont des projets de loi en cours, tandis que d’autres comme l’Irlande, la Grèce et l’Espagne sont encore plus en retard dans le processus.
Les règles ont été approuvées en 2022 dans le but de protéger les entités critiques, telles que les infrastructures énergétiques, de transport, bancaires, d’eau et numériques, contre les cyberincidents majeurs. Il abrogera le NIS1 qui, selon la Commission, n’a pas réussi à améliorer la cyber-résilience des entreprises opérant dans l’UE et n’a pas favorisé une réponse commune à la crise.
NIS2 introduit un nouveau calendrier de signalement des incidents – avec un avertissement à donner dans les 24 heures et un rapport d’incident remis dans les 72 heures – chaque fois qu’une entreprise est confrontée à de graves perturbations opérationnelles.
Difficultés de conformité
Les pays adoptent des approches différentes. Le Danemark, par exemple, envisagera de mettre à jour les règles sur une base sectorielle et commencera à se conformer au secteur de l’énergie.
Certains gouvernements, dont le français, ont alerté sur le manque de sensibilisation des entreprises qui relèvent désormais des règles, ainsi que sur l’élargissement du champ d’application : passant de 500 entités concernées sous NIS1, à 15 000 éventuellement concernées sous NIS2.
Les entreprises, à leur tour, s’inquiètent de la mise en œuvre fragmentée des règles et des défis de conformité pour les prestataires opérant sur plusieurs marchés.
EurEau, la Fédération européenne des associations nationales de services d’eau, qui représente les prestataires nationaux privés et publics de services d’eau potable et d’assainissement, a déclaré que les retards des États membres suscitent certaines inquiétudes.
Son secrétaire général, Oliver Loebel, a déclaré à L’Observatoire de l’Europe qu’« il reste difficile de savoir dans de nombreux pays quels opérateurs de distribution d’eau seront couverts par la directive, et nous prévoyons qu’il y aura probablement des variations significatives entre les États membres, ce qui est préoccupant ».
« Le secteur de l’eau peut avoir besoin d’un soutien financier pour mettre en œuvre toutes les mesures nécessaires, mais ce soutien est loin d’être garanti. Les petits opérateurs, en particulier, peuvent avoir du mal à accéder et à engager des experts en cybersécurité. Nous sommes également convaincus que les stratégies de résilience existantes, telles que les plans de sécurité de l’eau, peuvent être intégrées dans des cadres de résilience plus larges », a-t-il ajouté.
Le groupe de pression sur les logiciels BSA partage ces inquiétudes. Elle a déclaré dans une déclaration à L’Observatoire de l’Europe que ses membres s’inquiétaient du manque d’alignement sur les délais et les entités auxquelles les rapports devraient être effectués à travers l’Europe.
« Il y a des inquiétudes importantes. La Commission européenne n’a toujours pas publié le règlement d’application sur le « signalement des incidents », un élément majeur du NIS2. Sans cette clarté, il est difficile pour les entreprises de comprendre pleinement ce qui est exigé d’elles, et les délais de mise en conformité se réduisent rapidement », a déclaré la BSA.
L’Alliance européenne des PME NUMÉRIQUES s’inquiète des dizaines de milliers de PME qui pourraient être affectées si elles font partie de la chaîne d’approvisionnement de grandes entreprises soumises aux règles NIS2.
« Il y a un manque de clarté quant à la manière dont les entreprises devraient sécuriser leurs chaînes d’approvisionnement. Sans orientations claires, il est difficile pour les entreprises de se préparer, et on craint qu’en l’absence d’autres recommandations, les entités devant sécuriser leurs chaînes d’approvisionnement ne fassent défaut. aux mêmes exigences que le NIS2, indépendamment de l’inclusion d’une approche basée sur les risques », a indiqué l’association dans un communiqué.
NIS 2 s’accompagne également de sanctions en cas de non-conformité : des amendes pouvant aller jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial. En outre, la haute direction peut être tenue personnellement responsable des failles de sécurité causées par une négligence, ce qui signifie que la responsabilité de la politique de cybersécurité ira au-delà des services informatiques.
