Adoptée par le Parlement européen en novembre 2022, la directive NIS 2 (Network and Information Security) marque un tournant dans la cybersécurité au sein de l’Union européenne. Ce texte ambitionne de renforcer la résilience des infrastructures critiques et de protéger un plus grand nombre d’entités contre des cyberattaques toujours plus sophistiquées. Mais alors que sa mise en oeuvre devait être effective le 17 octobre dernier les États membres affichent encore actuellement des niveaux de progression très variables dans leur transposition nationale.
Un état des lieux contrasté dans l’UE
La directive NIS 2 élargit significativement le champ d’application de la réglementation. Contrairement à la directive NIS de 2016, elle inclut désormais un éventail d’organisations allant des petites et moyennes entreprises (PME) aux grands opérateurs d’infrastructures critiques. Cela impose des défis importants aux gouvernements, qui doivent adapter les exigences de sécurité à ces différentes entités tout en assurant une cohérence avec les cadres réglementaires nationaux.
Pourquoi une mise en œuvre complexe ?
Les secteurs couverts par NIS 2 incluent des domaines variés comme l’énergie, la santé, la logistique, ou encore les infrastructures numériques, ce qui implique une coordination intersectorielle complexe.
Par ailleurs, les États membres doivent intégrer les exigences de NIS 2 dans leurs législations nationales, ce qui requiert de mettre à jour des lois existantes et de créer de nouveaux cadres spécifiques.
Les entités concernées ont enfin pour obligation de s’organiser en interne, désigner des responsables de cybersécurité et réaliser des audits de maturité pour se conformer aux nouvelles obligations.
Le processus de transposition : une progression hétérogène
Selon un bilan établi en octobre 2024, les pays européens se divisent en trois groupes selon leur avancement dans la transposition de NIS 2 :
1. Les pays avancés (niveau de maturité 4)
Certains pays comme les Pays-Bas ou la France ont déjà publié des lois transposant NIS 2 et adopté les décrets d’application nécessaires. Ces États ont également mis en place des outils en ligne pour aider les entités à se conformer aux nouvelles obligations.
2. Les pays moyennement avancés (niveau de maturité 3)
D’autres, comme l’Allemagne et l’Italie, ont atteint des étapes clés dans leur processus législatif, mais doivent encore finaliser certains ajustements.
3. Les pays en retard (niveau de maturité 1 et 2)
Quelques États, dont la Bulgarie ou la Grèce, n’ont pas encore intégré de manière substantielle les dispositions de NIS 2 dans leur législation nationale. Cela pourrait entraîner des retards de mise en conformité pour les entités concernées.
Focus : L’exemple allemand
L’Allemagne illustre bien la complexité du processus de transposition.
Les étapes clés
- Avril 2023 : présentation de la première version du projet de loi transposant NIS 2.
- Juillet 2024 : validation du projet par le Gouvernement fédéral (Bundesregierung).
- Octobre 2024 : soumission au Parlement (Bundestag) pour examen final.
- Mars 2025 : entrée en vigueur prévue (sous réserve).
Spécificités allemandes
L’Allemagne s’appuie sur des cadres préexistants comme :
- Le BSI Act (1991) : qui donne au Bundesamt für Sicherheit in der Informationstechnik (BSI) le rôle de garant de la cybersécurité.
- L’IT Security Act 2.0 (2021) : qui impose des mesures de sécurité strictes aux opérateurs d’infrastructures critiques (KRITIS).
Le projet de loi NIS 2 en Allemagne s’appuie sur ces bases solides et distingue deux catégories d’entités :
Les entités particulièrement importantes qui incluent les opérateurs d’infrastructures critiques et les entités importantes, qui concernent les entreprises non critiques mais jugées stratégiques.
A leur égard, le BSI émet les recommandations suivantes :
- La désignation de responsables cybersécurité au sein des organisations.
- La réalisation d’audits pour évaluer la maturité en cybersécurité.
Les implications pour les entreprises et administrations
Les organisations concernées doivent se préparer dès maintenant pour respecter les nouvelles exigences de NIS 2. Cela implique nécessairement une montée en compétence avec la formation des équipes internes à la cybersécurité, mais aussi des audits et analyses avec l’identification des vulnérabilités et mise en place de plans d’action.
Les gouvernements encouragent par ailleurs les échanges entre secteurs public et privé pour renforcer la résilience collective.
La directive NIS 2 marque donc une étape décisive dans la sécurisation des infrastructures critiques en Europe. Si certains pays comme les Pays-Bas ou la France avancent rapidement, d’autres peinent encore à intégrer ces nouvelles obligations dans leur cadre légal. Pour les entreprises et les administrations, la mise en conformité avec NIS 2 n’est pas seulement une obligation légale, mais aussi une nécessité stratégique dans un contexte de cybermenaces croissantes.
Le succès de cette directive dépendra donc autant de l’efficacité des gouvernements que de la capacité des entités concernées à s’adapter à ces nouvelles exigences.
