Les règles mises à jour en matière de cybersécurité entreront en vigueur dans une semaine, mais seuls deux des 27 États membres ont jusqu’à présent informé la Commission européenne de leurs lois nationales de mise en œuvre.
Seules la Belgique et la Croatie ont officiellement notifié à la Commission européenne leur transposition des règles de cybersécurité mises à jour pour les entités critiques, une semaine avant la date limite, a déclaré un porte-parole de la Commission à L’Observatoire de l’Europe.
« Jusqu’à présent, la Commission a reçu notification d’une transposition complète du NIS2 dans le droit national par la Belgique et d’une transposition partielle par la Croatie », a déclaré un porte-parole sans pouvoir donner d’autres commentaires, car « le processus est en cours ».
Les 25 pays restants ont jusqu’au 17 octobre pour mettre en œuvre la directive 2 sur la sécurité des réseaux et de l’information (NIS2), qui a été approuvée en 2022 dans le but de protéger les entités critiques, telles que les infrastructures énergétiques, de transport, bancaires, d’eau et numériques, contre cyber-incidents majeurs.
L’Observatoire de l’Europe a rapporté en mars que la Croatie était le premier et le seul pays à avoir notifié à la Commission sa transposition partielle. Le statut du pays reste le même.
Des amendes allant jusqu’à 10 millions d’euros
La Commission a proposé la refonte de NIS1 – visant à renforcer la résilience des réseaux et des systèmes d’information dans toute l’Europe face aux risques de cybersécurité – dans le but de suivre le rythme de la numérisation croissante et de l’évolution du paysage des menaces de cybersécurité.
Selon un porte-parole de l’exécutif européen, la première directive présentée en 2016 n’a pas réussi jusqu’à présent à améliorer la cyber-résilience des entreprises opérant dans l’UE et n’a pas favorisé une réponse commune à la crise.
Les entreprises doivent émettre un avertissement dans les 24 heures et fournir un rapport d’incident dans les 72 heures en cas d’incident entraînant de graves perturbations opérationnelles.
En cas de non-respect, les entreprises s’exposent à des amendes pouvant aller jusqu’à 10 millions d’euros, ou 2 % du chiffre d’affaires mondial, le montant le plus élevé étant retenu.
Les entreprises manquent de sensibilisation
La commission parlementaire mixte française chargée du numérique et des postes a déclaré dans un rapport publié au début du mois (3 octobre) que si NIS 1 concernait près de 600 entités, NIS2 porterait son périmètre à près de 15 000 entités.
La commission a consulté les parties prenantes, notamment l’Office national de cybersécurité, les producteurs de logiciels et les associations cloud entre mars et mai 2024, et a conclu que le délai de transposition « soulève un certain nombre de défis » pour les entreprises qui entrent désormais dans le champ d’application.
« La majorité des nouvelles entités concernées ne connaissent pas les mesures et les critères qu’elles devront analyser elles-mêmes pour déterminer leur conformité », précise-t-on.
Elle ajoute que « le projet de loi n’a toujours pas été présenté en Conseil des ministres, et à l’approche de la date du 17 octobre 2024, son avenir est incertain ».
En Allemagne également, l’adoption de la loi d’application est prévue pour début 2025.
