La directive européenne NIS 2 (Network and Information Security) doit être transposée dans le droit national de chaque État membre de l’Union Européenne (UE) d’ici octobre 2024.
Face à des acteurs malveillants toujours plus performants et mieux outillés, touchant de plus en plus d’entités trop souvent mal protégées, NIS 2 renforce les acquis de la NIS pour davantage de sécurité. Le texte européen élargit de manière drastique le volume d’entités concernées par la règlementation. Celle-ci concerne des entreprises de secteurs et de tailles diverses, allant des PME aux grandes entreprises. La variété de ce périmètre constitue sans nul doute un vrai challenge pour les autorités nationales qui, en transposant le texte, doivent décliner les exigences de sécurité qui s’appliqueront aux différentes organisations.
Aujourd’hui, les pays de l’UE présentent des avancées hétérogènes et ont parfois pris des orientations différentes quant au processus de transposition (consultation publique vs. fermée, mise en cohérence avec des lois nationales déjà existantes, communication plus au moins poussée allant jusqu’à la mise à disposition d’outils d’aide en ligne pour les entités…). Cet article compare le niveau de transposition dans chaque État membre.
Des avancées hétérogènes dans le processus de transposition
Dernière mise à jour le 15 mai 2024
Zoom sur les pays les plus en avance(niveaux de maturité 3 et 4)
Dernière mise à jour le 15 mai 2024
Zoom sur les pays avec une avancée intermediaire (niveau de maturité 2)
Dernière mise à jour le 15 mai 2024
Zoom sur les pays en début de processus de transposition (niveau de maturité 1)
Dernière mise à jour le 15 mai 2024
Focus sur certains pays européens
Belgique
Le projet de loi de transposition NIS 2 a été approuvé par le Parlement le 18 avril 2024. Un arrêté royal d’exécution est attendu, par la suite, afin de préciser les modalités pratiques de mise en œuvre de la loi.
4
niveau de maturité
- 10 novembre 2023 : le Conseil des ministres belge approuve, en première lecture, l’avant-projet de loi visant à transposer la directive européenne NIS 2
- 16 novembre 2023 – 21 décembre 2023 : le CCB organise une consultation publique sur cet avant-projet
- 27 mars 2024 : le projet de loi de transposition de NIS 2 est approuvé en Commission Intérieur de la Chambre des représentants
- 18 avril 2024 : le projet de loi est voté en séance plénière par le Parlement belge
- Prochainement : un arrêté royal d’exécution est attendu afin de préciser les modalités d’entrée en vigueur de la loi. Cet arrêté devra préciser certaines modalités pratiques relatives à la supervision des entités : le cadre de référence des mesures de cybersécurité utilisés pour évaluer les entités, les modalités d’inspection des entités, les conditions d’agréation des organismes de contrôle …
- La conformité au cadre CyberFundamentals Framework (CyFun) mis à disposition par le CCB, tout comme la certification à la norme ISO 27001, devrait jouer de présomption de conformité aux mesures de sécurité NIS 2.
- Le framework CyFun regroupe un ensemble de mesures inspirés de plusieurs référentiels de cybersécurité (ISO 27001 / 27002, NIST CSF, CIS Controls et IEC 62443).
- A partir de l’entrée en vigueur de la loi :
- Toutes les entités concernées par NIS 2 auront 5 mois pour se notifier auprès du CCB.
- Les EE devront se soumettre à des inspections annuelles par un organisme agréé par le CCB. Les EI pourront se faire contrôler sur la base du volontariat.
CCB (Centre pour la Cybersécurité Belgique)
Allemagne
L’Allemagne a publié son troisième projet de loi (NIS2UmsuCG) en décembre 2023. Une 4ème version sans changement majeur est attendue prochainement.
3
niveau de maturité
- Avril 2023 : première version du projet de loi
- Juillet 2023 : deuxième version du projet de loi
- Décembre 2023 : troisième version du projet de loi
- Mai 2024 : quatrième version du projet de loi (sans changement majeur)
En Allemagne, la BSI Act adopté en 1991, confère au BSI le mandat de garantir la sécurité des SI. L’IT Security Act, promulguée en 2015 (puis mise à jour en 2021 à travers l’I.T Security Act 2.0), étend les responsabilités du BSI et impose des mesures de sécurité aux opérateurs d’infrastructures critiques. Parallèlement, l’ordonnance KRITIS, mise en place en 2016, désigne des organisations ayant des infrastructures critique et leur impose des obligations spécifiques pour renforcer leur cybersécurité.
L’Allemagne a clarifié les catégories d’entités qui seront concernées par NIS2 en lien avec KRITIS. La directive NIS 2 concernera 2 catégories d’entités :
1 – Les entités particulièrement importantes (KRITIS + EE)
- Entreprises disposant d’infrastructures critiques et déjà soumises à KRITIS
- Les grandes entreprises (plus de 249 salariés ou CA de plus de 50M€ ou bilan annuel de plus de 43M€) des secteurs essentiels cités dans la directive NIS 2
- Les institutions désignées spécifiquement comme essentielles par l’Etat quelles que soient leur taille
2 – Les entités importantes (EI)
- Les grandes entreprises (plus de 249 salariés ou CA de plus de 50M€ ou bilan annuel de plus de 43M€) des secteurs importants de la directive NIS 2 (services postaux, gestion des déchets, l’industrie alimentaire, industrie manufacturière,…=> cf. liste dans la publication sur la directive NIS2)
- Les entreprises de taille moyenne (salariés entre 50 et 250, CA entre 10M€ et 50M€, bilan annuel entre 10M€ et 43M€) des secteurs essentiels et importants de la directive NIS 2.
Par ailleurs, les entités soumises à NIS 2 en Allemagne devront :
- Prouver leur conformité au BSI par des audits et/ou des certifications, à partir de 2027 puis tous les 3 ans
- Surveiller leurs fournisseurs directs et signaler immédiatement les incidents de sécurité liés à ces fournisseurs au BSI.
BSI (Bundesamt für Sicherheit in der Informationstechnik)
France
Dans le but d’adopter une approche co-constructive, l’ANSSI a organisé une série de consultations liées à la transposition de la NIS 2. Fin 2023, l’ANSSI a notamment partagé, dans le cadre de groupes de travail restreints, un ensemble d’exigences de sécurité provisoires. Un projet de loi devrait être présenté auprès instances législatives lors du mois de mai 2024. Ce projet sera accompagné par la suite d’une vingtaine de décrets d’application. Un de ces décrets devrait préciser la version finale des exigences de sécurité.
3
niveau de maturité
L’ANSSI a privilégié une méthode participative, impliquant des acteurs clés du secteur, y compris des fédérations professionnelles sectorielles comme l’UFE (Union Française de l’Électricité), des associations en cybersécurité (CLUSIF, CESIN) et des prestataires qualifiées (PASSI, PRIS, PDIS etc.).
La phase de consultation portait sur 3 thèmes :
- Le périmètre des entités assujetties (septembre 2023)
- Les modalités d’interaction entre l’ANSSI et les entités assujetties (octobre 2023)
- Le référentiel d’exigences de cybersécurité (novembre 2023 à mars 2024)
L’ANSSI a prévu de mettre en place plusieurs outils d’aide en ligne, dont certains sont accessibles en version beta :
- Un outil d’évaluation de l’éligibilité d’une organisation à NIS 2
- Un service d’accompagnement à la mise en place d’une démarche de sécurité
- Un outil de pilotage de mesures de sécurité
Un travail de mise en cohérence de la transpositions de NIS avec celle de la REC (Résilience des Entités Critiques) est prévu par les autorités afin de clarifier le cadre réglementaire des organisations concernées par les 2 lois.
ANSSI (Agence nationale de la sécurité des systèmes d’information)
Royaume-Uni
Bien que non concerné par la directive NIS 2, à la suite du Brexit, le Royaume-Uni envisage de faire évoluer sa règlementation NIS actuelle.
1
niveau de maturité
- 2018 : le Royaume-Uni, alors membre de l’UE, transpose la directive européenne NIS dans son droit national. Pour chaque secteur d’activité concerné, une autorité compétente est identifiée (NIS Regulator). Des guides (guidance) contenant des mesures de sécurité ont également été mis à disposition par secteur d’activités.
- 2022 : À la suite d’une consultation, le Gouvernement a annoncé son intention de mettre à jour la réglementation NIS afin d’améliorer la cyber-résilience du Royaume-Uni.
Les modifications envisagées par le Gouvernement concernent notamment :
- l’intégration des fournisseurs de services gérés (MSP) dans le champ d’application de la réglementation pour assurer la sécurité des chaînes d’approvisionnement numériques
- l’amélioration de la notification des incidents de cybersécurité aux autorités
- la mise en place d’un système de recouvrement des coûts pour faire appliquer la réglementation NIS.
Ces mises à jour de la réglementation NIS seront effectuées dès que le temps parlementaire le permettra.
DSIT (Department for Science, Innovation and Technology)
1 régulateur par secteur d’activité
Italie
L’Italie a initié sa préparation à la directive NIS 2 le 26 janvier 2022, avec une première publication dédiée à la stratégie et à la gouvernance.
1
niveau de maturité
La transposition de NIS 2 en Italie se déploie à travers plusieurs axes.
- La stratégie nationale de cybersécurité couvre 82 mesures, regroupées en 3 domaines thématiques (protection, développement et politique de réponse).
- Le cadre national des mesures de gestion comprend 5 mesures destinées à améliorer la gestion des cyber-crises. Parmi celles-ci, 2 mesures sont dédiées aux exercices et intégrées avec l’UE, l’OTAN (Organisation du traité de l’Atlantique nord) et les mécanismes internationaux applicables.
- L’équipe spécialisée dans la gestion des incidents et les outils à dispositions inclut 8 mesures consacrées aux services cybernétiques nationaux et aux multiples outils numériques en cours d’élaboration pour gérer le grand nombre d’entités.
- La supervision concerne 3 mesures qui prévoient l’activation d’une équipe centrale d’inspection.
ACN (Agenzia per la Cybersicurezza Nazionale)
Espagne
L’Espagne a organisé une consultation publique fin 2023, en vue de contribuer à la formulation de la législation nationale qui permettra la transposition de NIS 2.
1
niveau de maturité
21 septembre au 17 octobre 2023 : lors d’une consultation publique, toutes les parties intéressées (incluant les organisations, associations et citoyens) sont invitées à s’exprimer sur l’intégration de la directive européenne NIS 2 dans le droit national.
Les détails sur l’avancement du processus de transposition de NIS 2 en Espagne restent limités.
DSN (Departamento de Seguridad Nacional)
Luxembourg
Au Luxembourg, les entités affectées par la directive NIS 2 doivent procéder à un auto-enregistrement auprès des autorités désignées.
1
niveau de maturité
L’Institut Luxembourgeois de Régulation (IRL) a initié un processus d’identification et de sensibilisation des acteurs concernés par NIS 2.
Avec NIS 2, l’analyse annuelle des risques obligatoire incombe désormais aux dirigeants – contrairement à NIS 1 où l’IRL fournissait un rapport d’analyse des risques comparatif annuel à chaque entreprise concernée.
IRL (Institut Luxembourgeois de Régulation)
Autriche
L’Autriche anticipe la transposition de la directive NIS 2 avec des révisions programmées de ses lois actuelles sur la cybersécurité.
1
niveau de maturité
- L’approche autrichienne de la mise en œuvre de la NIS2 entraînera probablement l’évolution des législations existantes, incluant la loi sur la protection des infrastructures critiques (KritisG). Des discussions avec les parties prenantes et une consultation publique précéderont ces mises à jour.
- Des autorités de surveillance seront désignées pour veiller à l’application des nouvelles règles, avec des sanctions en cas de non-respect.
- La Chambre fédérale de commerce et d’industrie (WKO) autrichienne propose un guide en ligne (A-t-on le lien ?) aux entreprises pour savoir si elles sont concernées par NIS 2. Le cas échéant, elles devront évaluer et, si nécessaire, améliorer leurs procédures de cybersécurité pour se conformer aux nouvelles exigences.
WKO (Wirtschaftskammer Österreich)
Saisissez tout le potentiel de l'IA générative, adoptez les bons réflexes !
Cette publication a été réalisée avec la contribution de Nandi Traoré et Amélie Amanejieu.
France
Fin 2023, l’ANSSI (Agence nationale de la sécurité des systèmes d’information) a publié un ensemble d’exigences provisoires pour la directive NIS 2. Ces informations, confidentielles à date, ont été partagées dans le cadre de groupes de travail restreints.
L’ANSSI privilégie une méthode participative, impliquant des acteurs clés du secteur, y compris des fédérations professionnelles comme l’UFE (Union Française de l’Électricité), des associations en cybersécurité (CLUSIF, CESIN) et des prestataires qualifiées (PASSI, PRIS, PDIS etc.).
La phase de consultation portait sur 3 thèmes :
- Le périmètre des entités assujetties (septembre 2023)
- Les modalités d’interaction entre l’ANSSI et les entités assujetties (octobre 2023)
- Les exigences de cybersécurité (novembre 2023-mars 2024)
- Un outil d’autoévaluation de l’éligibilité à NIS2 (version bêta) est accessible en ligne.
- Un travail de mise en cohérence des règlementations DORA (Digital Operational Resilience Act), NIS et REC (???) est en cours afin de clarifier le cadre réglementaire=.
ANSSI (Agence nationale de la sécurité des systèmes d’information)