NIS 2 : où en sont les pays européens dans la transposition de la directive ?
Publié le 25 novembre 2024
- Cybersécurité
La directive européenne NIS 2 (Network and Information Security) doit être transposée dans le droit national de chaque État membre de l’Union Européenne.
Face à des acteurs malveillants toujours plus performants et mieux outillés, touchant de plus en plus d’entités trop souvent mal protégées, NIS 2 renforce les acquis de la NIS pour davantage de sécurité. Le texte européen élargit de manière drastique le volume d’entités concernées par la règlementation. Celle-ci concerne des entreprises de secteurs et de tailles diverses, allant des PME aux grandes entreprises. La variété de ce périmètre constitue sans nul doute un vrai défi pour les autorités nationales qui, en transposant le texte, doivent décliner les exigences de sécurité qui s’appliqueront aux différentes organisations.
Malgré la date limite de transposition fixée au 17 octobre 2024 par la Commission Européenne, les pays de l’UE présentent des avancées hétérogènes sur leur transposition. Ils ont parfois pris des orientations différentes quant au processus de transposition (consultation publique vs. fermée, mise en cohérence avec des lois nationales déjà existantes, communication plus au moins poussée allant jusqu’à la mise à disposition d’outils d’aide en ligne pour les entités…).
Cet article compare le niveau de transposition dans chaque État membre en date du 18 octobre 2024.
Des avancées hétérogènes dans le processus de transposition
Pays avec un niveau de maturité 4
Pays ayant un niveau de maturité 3
Pays ayant un niveau de maturité 1 et 2
Focus sur certains pays européens
Niveau de maturité = 3
Le projet de loi NIS 2 (NIS2UmsuCG), a été approuvé par le Gouvernement Fédéral allemand le 24 Juillet 2024. Cependant, il doit encore être adopté par le Parlement fédéral avant son entrée en vigueur prévue pour mars 2025.
Etapes clés
- Avril 2023 : première version du projet de loi
- Juillet 2023 : deuxième version du projet de loi
- Décembre 2023 : troisième version du projet de loi
- Mai 2024 : quatrième version du projet de loi
- Juillet 2024 : cinquième version du projet de loi, approuvée par le Gouvernement Fédéral (Bundesregierung)
- Septembre 2024 : le Conseil Fédéral (Bundesrat) publie son avis sur le projet de loi transposant NIS 2
- Octobre 2024 : le projet de loi est soumis au Parlement (Bundestag)
- Mars 2025 : Entrée en vigueur prévisionnelle (à confirmer)
Spécificités nationales
La BSI Act adoptée en 1991, confère au BSI le mandat de garantir la sécurité des SI.
L’IT Security Act, promulguée en 2015 et mise à jour en 2021 à travers l’IT Security Act 2.0, étend les responsabilités du BSI et impose des mesures de sécurité aux opérateurs d’infrastructures critiques. Parallèlement, le règlement KRITIS identifie une liste de secteurs critiques au sein de l’économie allemande (énergie, eau, alimentation, santé,…) et renforce les mesures de sécurité à appliquer par ces entités.
L’Allemagne a clarifié les catégories d’entités qui seront concernées par NIS2 en lien avec KRITIS. La directive NIS 2 concernera 2 catégories d’entités :
- les entités particulièrement importantes (composées des entités KRITIS et des Entités Essentielles au sens de NIS 2);
- les entités importantes (composées des Entités Importantes au sens de NIS 2).
La BSI met à disposition des recommandations pour anticiper l’arrivée de la transposition NIS 2 allemande et recommande notamment de désigner des personnes responsables de cybersécurité au sein de l’entité et de réaliser d’un premier état des lieux de maturité en cybersécurité.
Autorité(s) compétente(s) : BSI (Bundesamt für Sicherheit in der Informationstechnik)
Niveau de maturité = 4
La loi de transposition a été votée le 26 avril 2024 par le Parlement Belge. Elle est accompagnée d’un arrêté royal qui précise les modalités pratiques de mise en œuvre de cette loi. La loi est officiellement entrée en vigueur le 18 octobre 2024. Le référentiel cyber qui l’accompagne est le CyFun construit par le CCB. Une présomption de conformité à ISO 27001 peut être envisagée.
Etapes clés
- 10 novembre 2023 : le Conseil des ministres belge approuve, en première lecture, l’avant-projet de loi visant à transposer la directive européenne NIS 2
- 16 novembre 2023 – 21 décembre 2023 : le CCB organise une consultation publique sur cet avant-projet
- 27 mars 2024 : le projet de loi de transposition de NIS 2 est approuvé en Commission Intérieur de la Chambre des représentants
- 26 avril 2024 : la loi NIS 2 est votée en séance plénière par la Chambre des représentants et publié au Moniteur Belge le 17 mai 2024. Nom officiel de la loi : loi établissant un cadre pour la cybersécurité des réseaux et des systèmes d’information d’intérêt général pour la sécurité publique
- 9 juin 2024 : Un arrêté royal d’exécution est publié. Cet arrêté précise les modalités pratiques liées à la mise en œuvre de la loi : les modalités d’évaluation régulière des entités (obligatoires pour les Entités Essentielles et volontaires pour les Entités Importantes) et les conditions d’agrégation des organismes de contrôle.
- 18 octobre 2024 : entrée en vigueur de la loi
Spécificités nationales
- La conformité au cadre CyFun, tout comme la certification à la norme ISO 27001, jouera de présomption de conformité à NIS 2.
- Le CyFun propose 4 niveaux d’assurance (Small, Basic, Import, Essential) et est accompagné de 4 outils :
- Assessment Tool : Un questionnaire basé sur la cartographie du CyFun pour évaluer si une entité atteint le niveau de sécurité visé.
- Outil d’Analyse de Risque : Permet d’évaluer les risques spécifiques au secteur d’activité et de déterminer le niveau de conformité nécessaire.
- Modèles de Politiques de Sécurité : Fournissent une base pour les entités ayant moins d’expérience en cybersécurité.
- Cartographie du CyberFundamentals Framework : Offre un aperçu des exigences et des liens avec d’autres frameworks du marché.
Autorité(s) compétente(s) : CCB (Centre pour la Cybersécurité Belgique)
Niveau de maturité = 3
Le projet de loi sur la résilience qui englobe la transposition de NIS 2, REC et DORA a été présenté au Conseil des ministres le 15 octobre 2024. Les prochains jalons liées à l’approbation de la loi par le Parlement sont à la main du Parlement. L’ANSSI a partagé un référentiel de mesures de sécurité en version temporaire dans des consultations fin 2023 (abordant la notion de Système d’Information Règlementé, ou SIR, notion qui peut être amenée à évoluer dans la version définitive). Le projet sera accompagné par la suite d’une vingtaine de décrets d’application. Un de ces décrets devrait préciser la version finale des mesures de sécurité.
Etapes clés
L’ANSSI a privilégié une méthode participative, impliquant des acteurs clés du secteur, y compris des fédérations professionnelles sectorielles comme l’UFE (Union Française de l’Électricité), des associations en cybersécurité (CLUSIF, CESIN) et des prestataires qualifiées (PASSI, PRIS, PDIS etc.)
La phase de consultation portait sur 3 thèmes :
- Septembre : le périmètre des entités assujetties
- Octobre : les modalités d’interaction entre l’ANSSI et les entités assujetties
- Novembre : les exigences de cybersécurité
- 21 mai 2024 : la CSNP (Commission Supérieure du Numérique et des Postes) émet un premier avis comprenant 14 recommandations sur le projet de loi résilience, soulignant notamment l’importance de définir une liste claire des secteurs critiques et hautement critiques, ainsi que de hiérarchiser les obligations pour les entités.
- 3 octobre 2024 : la CSNP émet un second avis avec 32 recommandations sur les enjeux de la transposition de la directive NIS 2, insistant sur la nécessité de fixer le délai de mise en conformité au 31 décembre 2027, de mener une campagne de communication ciblée à l’attention des entités concernées, et d’intégrer dans la loi une clause d’adaptabilité aux évolutions technologiques, notamment celles liées à l’IA.
- 15 octobre 2024 : un projet de loi « Résilience des infrastructures critiques et renforcement de la cybersécurité » est présenté en Conseil des ministres.
Prochainement : le projet de loi doit être approuvé au Parlement.
Spécificités nationales
L’ANSSI a prévu de mettre en place plusieurs outils d’aide en ligne, dont certains sont accessibles en version beta :
- Un outil d’évaluation de l’éligibilité d’une organisation à NIS 2
- Un service d’accompagnement à la mise en place d’une démarche de sécurité
- Un outil de pilotage de mesures de sécurité
Autorité(s) compétente(s) : ANSSI (Agence nationale de la sécurité des systèmes d’information)
Niveau de maturité = 1
Bien que non concerné par la directive NIS 2, à la suite du Brexit, le Royaume-Uni envisage de faire évoluer sa règlementation cybersécurité actuelle dont la transposition britannique de NIS 1.
Etapes clés
- 2018 : le Royaume-Uni, alors membre de l’UE, transpose la directive européenne NIS 1 dans son droit national. Pour chaque secteur d’activité concerné, une autorité compétente est identifiée (NIS Regulator). Des guides (guidance) contenant des mesures de sécurité ont également été mis à disposition par secteur d’activités.
- 2022 : À la suite d’une consultation publique sur les moyens d’accroître la résilience cyber du Royaume-Uni, le Gouvernement annonce son intention de mettre à jour la réglementation NIS afin de renforcer la cybersécurité nationale.
- 17 juillet 2024 : Le Gouvernement réaffirme sa volonté de mettre à jour les réglementations britanniques existantes en matière de cybersécurité, héritées de l’UE (notamment la NIS 1), via un projet de loi sur la cybersécurité et la résilience.
Spécificités nationales
Les modifications envisagées par le Gouvernement concernent notamment :
- l’intégration des fournisseurs de services gérés (MSP) dans le champ d’application de la réglementation pour assurer la sécurité des chaînes d’approvisionnement numériques
- l’amélioration de la notification des incidents de cybersécurité aux autorités
- la mise en place d’un système de recouvrement des coûts pour faire appliquer la réglementation NIS.
Autorité(s) compétente(s) : DSIT (Department for Science, Innovation and Technology) – 1 régulateur par secteur d’activité
Niveau de maturité = 3
Le projet de loi de transposition a été déposé auprès de la Chambre des Députés le 13 mars 2024. Le Conseil d’Etat a publié son avis sur ce projet ainsi que plusieurs recommandations. Le projet doit encore être approuvé. Des sessions d’informations sont organisées régulièrement par les autorités.
Etapes clés
- Mars 2024 : Un projet de loi est déposé auprès de la Chambre des Députés.
- Avril 2024 : L’Institut Luxembourgeois de Régulation (ILR) organise une session publique de partage d’information, complétée par une seconde session en septembre 2024.
- Octobre 2024 : Le Conseil d’Etat publie son avis sur le projet de loi en formulant 25 recommandations. Il recommande notamment une coordination avec la directive sur la Résilience des Entités Critiques (REC), met en garde contre les risques de divergence entre l’ILR et la CSSF (superviseur du secteur financier) et souligne la nécessité de clarifier les comportements soumis à sanctions.
- Prochainement : Le projet de loi doit être adopté par le Parlement.
Spécificités nationales
L’ILR travaille sur les mesures de sécurité, qui seront sans doutes alignées ou inspirées de normes existantes (ex : ISO 270001) ou de pratiques des autres pays (ex : le référentiel belge CyFun).
Autorité(s) compétente(s) : ILR (Institut Luxembourgeois de Régulation)
Auteur
-
Ouala Barhoumi
Manager – France, Paris
Wavestone
LinkedIn