NIS2 est la directive de l'Union européenne sur la cybersécurité, qui s'appuie sur son prédécesseur pour garantir une protection et une résilience accrues. Dans cet article de blog, nous examinons de plus près la mise en œuvre nationale requise par la directive NIS2, ainsi que les lois locales : lesquelles sont disponibles sur Cyberday et en quoi diffèrent-elles de la directive européenne ?
La directive NIS2 est une version actualisée de la directive NIS initiale, qui en élargit le champ d'application et vise à renforcer la cybersécurité dans l'ensemble de l'Union européenne. La directive NIS2 s'applique à un large éventail de secteurs essentiels au fonctionnement de l'économie, tels que l'énergie, les transports, l'eau, l'alimentation, la santé, la finance, les opérateurs d'infrastructures numériques, l'industrie manufacturière et bien d'autres encore.
Au printemps 2024, nous avons publié un e-book sur NIS2 prêt avec les meilleures pratiques ISO 27001. Dans notre e-book gratuit, nous vous guiderons dans le monde de NIS2, le contenu de la directive et vous donnerons des conseils pratiques sur la façon d'atteindre la conformité. Téléchargez le vôtre ici : cyberday.ai/ebook
.png)
Les États membres de l'UE étaient tenus d'adopter la directive NIS2 en droit national avant le 17 octobre 2024, la mise en œuvre devant suivre peu après. Bien que beaucoup n'aient pas respecté la date limite, les progrès se poursuivent et la plupart des pays devraient bientôt finaliser leur législation. La directive élargit les secteurs couverts et renforce les exigences en matière de gestion des risques, de déclaration des incidents et de mesures de cybersécurité, y compris des normes plus strictes en matière de déclaration des incidents et de sécurité de la chaîne d'approvisionnement.
Les principales décisions prises au niveau national concernent la définition des autorités locales, la mise en œuvre et les détails du contrôle. La directive fixe des méthodes de contrôle minimales et n'autorise que des ajouts au niveau national. Les éléments à prendre en compte sont les suivants :
La NIS2 met l'accent sur le rôle des autorités publiques pour assurer la cybersécurité des services et des infrastructures critiques dans l'Union européenne et souligne la nécessité d'une coopération accrue entre les autorités publiques des États membres de l'UE.
La législation nationale doit préciser quelles sont les autorités chargées de contrôler la mise en œuvre du NIS2 dans le pays concerné et si, par exemple, le contrôle est réparti entre différentes autorités en fonction de leurs domaines de compétence. Les pays doivent désigner des autorités locales chargées de veiller au respect des règles du NIS2 : il s'agit de désigner des autorités de surveillance nationales ou de créer de nouvelles équipes de surveillance pour des secteurs tels que l'énergie, la santé et les transports.
Le NIS2 établit des exigences claires et strictes en matière de mise en œuvre et de suivi afin de garantir le respect des règles par les organisations et les États membres. Les États membres doivent appliquer des mesures de contrôle efficaces, proportionnées et dissuasives à l'encontre des acteurs clés, tout en tenant compte des circonstances spécifiques de chaque cas. Si la surveillance révèle un risque de non-conformité de la part d'un opérateur important, les autorités doivent prendre les mesures qui s'imposent, y compris, si nécessaire, des mesures de contrôle a posteriori. En outre, les pays doivent mettre en place des équipes chargées de gérer les incidents de cybersécurité et d'enquêter sur ceux-ci, le cas échéant.
Selon le NIS2, une organisation doit disposer de politiques bien définies pour gérer les risques liés à la sécurité de l'information, évaluer l'efficacité des mesures de sécurité et identifier les domaines clés à améliorer.
La directive NIS2 identifie spécifiquement les domaines suivants de la sécurité de l'information pour lesquels l'organisme doit documenter et mettre en œuvre ses actions, et la direction de l'organisme est responsable de l'adéquation de ces actions :
Chaque pays doit veiller à ce que les organisations mettent en œuvre des mesures de gestion des risques. Ces mesures consistent notamment à s'assurer que les chaînes d'approvisionnement sont sûres et à examiner soigneusement les risques.
Dans le cadre du NIS2, les incidents importants doivent être signalés à l'autorité de surveillance nationale, de sorte que la législation nationale définit quand et comment signaler les incidents. Le NIS2 fixe donc les normes de base, mais les pays peuvent fixer des règles plus strictes ou plus détaillées en fonction de leurs propres besoins.
Au niveau national, il est également possible d'aller au-delà du champ d'application de la directive NIS2 et de créer des spécifications en fonction des besoins nationaux. Ces accords et actions au niveau national permettront d'adapter la directive NIS2 à la législation de chaque pays tout en maintenant une approche cohérente de la cybersécurité dans l'ensemble de l'UE.
Voici en quelques mots la situation actuelle :
La loi autrichienne sur la sécurité des systèmes d'information et des réseaux (Netz- und Informationssystemsicherheitsgesetz ) transpose la directive NIS2 en droit national. Elle fixe des exigences en matière de gestion des risques de cybersécurité, de signalement des incidents et de mesures de protection sectorielles pour les entités essentielles et importantes. La loi s'aligne étroitement sur le champ d'application de la directive NIS2, tout en détaillant les structures nationales de surveillance et les mécanismes de coopération. L'application de la loi est dirigée par le ministère fédéral de l'action climatique, de l'environnement, de l'énergie, de la mobilité, de l'innovation et de la technologie (BMKÖ), en coordination avec le Conseil autrichien de la cybersécurité.
La Belgique a transposé la directive NIS2 de l'Union européenne dans son droit national sous la forme de la loi NIS2. Cette législation s'aligne étroitement sur la directive de l'UE et ne comporte que des adaptations nationales mineures. Elle établit des exigences en matière de cybersécurité pour les entreprises opérant dans des secteurs critiques et enregistrées en Belgique. Les principales mesures nationales comprennent des procédures d'enregistrement spécifiques et des évaluations de la conformité.
La loi bulgare sur l'application du NIS2 établit un cadre national pour l'identification et la sécurisation des entités essentielles et importantes, conformément à la directive NIS2. Elle introduit des procédures nationales spécifiques pour l'enregistrement, la notification des incidents et les audits sectoriels, ainsi que des pouvoirs de contrôle renforcés. La mise en œuvre est assurée conjointement par l'Agence nationale pour la sécurité nationale et la Commission pour la protection des données personnelles.
Mise en œuvre croate du NIS2 La loi sur la cybersécurité (Zakon o kibernetičkoj sigurnosti NN 14/2024) est entrée en vigueur en février 2024. Elle définit les règles de cybersécurité pour les entreprises croates avec les mêmes critères que le NIS2 à quelques exceptions près, comme l'inclusion de secteurs supplémentaires, la catégorisation détaillée des entités, les délais définis pour la conformité et les pénalités spécifiées.
La loi chypriote sur la cybersécurité met en œuvre la directive européenne NIS2 et impose aux entités essentielles et importantes l'obligation de mettre en place des mesures de gestion des risques, de signaler les incidents et de coopérer avec les autorités nationales. Elle prévoit des processus de désignation nationaux et clarifie les responsabilités sectorielles. Le département des communications électroniques, qui dépend du ministère des transports, des communications et des travaux publics, est l'organe de contrôle principal.
La "Kyberturvallisuuslaki" finlandaise attend la dernière approbation, mais peut déjà être utilisée dans la mise en œuvre. La loi sur la cybersécurité crée un cadre juridique clair pour la gestion des risques liés à la sécurité de l'information et le signalement des incidents, conformément à la directive NIS2. La nouvelle loi vise à unifier la législation finlandaise actuelle sur la cybersécurité, qui est fragmentée, et à l'harmoniser avec les normes européennes introduites par la directive NIS2. Elle élargit le champ d'application des exigences en matière de gestion des risques et d'établissement de rapports et précise le nombre d'entreprises et d'institutions publiques qui doivent s'y conformer. La loi sur la cybersécurité prend comme point de départ le niveau minimum de la directive et définit principalement les points correspondant au contenu de la directive. La loi sur la cybersécurité n'élargit pas le champ d'application de la directive NIS2, ni les moyens de contrôle.
La loi allemande sur la mise en œuvre du NIS2 et le renforcement de la cybersécurité transpose la directive de l'UE en y ajoutant des mesures nationales d'application, notamment des délais plus stricts pour le signalement des incidents, des sanctions plus lourdes et un champ d'application sectoriel plus large dans certains domaines. L'Office fédéral de la sécurité de l'information (BSI) est la principale autorité de contrôle, soutenue par des régulateurs au niveau de l'État pour certains secteurs.
La Grèce a adopté la mise en œuvre du NIS2, qui renforce les obligations en matière de cybersécurité pour les secteurs critiques, notamment l'énergie, les transports et l'infrastructure numérique. La loi s'aligne étroitement sur la directive de l'UE, tout en introduisant des processus supplémentaires de surveillance et de vérification de la conformité. La mise en œuvre est assurée par l'Autorité nationale hellénique de cybersécurité, qui travaille en coordination avec les régulateurs sectoriels.
Le projet de loi irlandais sur la cybersécurité nationale (National Cyber Security Bill 2024 ) transpose la directive NIS2 dans le droit irlandais. Elle fixe des obligations de gestion des risques et de signalement des incidents pour les entités essentielles et importantes, avec des procédures nationales d'enregistrement et de contrôle de la conformité. Le Centre national de cybersécurité (NCSC), qui dépend du ministère de l'environnement, du climat et des communications, est l'organe principal chargé de l'application de la loi.
La loi italienne sur la cybersécurité (décret législatif n° 138) transpose la NIS2 avec des mesures supplémentaires pour les entités de l'administration publique et certains opérateurs privés. Elle prévoit des délais de mise en conformité détaillés, des sanctions plus lourdes et des obligations plus étendues dans les secteurs critiques. L'Agence nationale de cybersécurité (ACN) est chargée de la surveillance et de l'application de la loi.
Le NIS2 a été adopté en tant que "loi nationale sur la cybersécurité" en Lettonie. Elle améliore la sécurité des technologies de l'information et de la communication, notamment en fixant des exigences pour la fourniture et la réception de services essentiels et importants et pour le fonctionnement des technologies de l'information et de la communication. La loi étend son champ d'application aux organisations des secteurs public et privé, qu'elle classe en trois groupes en fonction de leur criticité.
La loi sur la cybersécurité "Kibernetinio Saugumo Įstatymas" met en œuvre la loi NIS2 de l'Union européenne en Lituanie. Elle impose à diverses organisations de renforcer leur gestion des risques liés à la cybersécurité. La loi lituanienne introduit un champ d'application élargi, des délais de mise en œuvre détaillés (12 mois à compter de l'inclusion) et des rôles de supervision définis.
Le projet de loi luxembourgeois n° 8364 transpose la directive NIS2 en droit national, avec des dispositions relatives aux obligations en matière de cybersécurité, au signalement des incidents et à des exigences sectorielles spécifiques, notamment dans le domaine des infrastructures financières et numériques. La Haute Commission pour la protection nationale (HCPN) sera la principale autorité de contrôle une fois que la loi aura été promulguée.
L'avis juridique 71 de 2025 de Malte donne un effet national au NIS2 en imposant des exigences en matière de sécurité, de gestion des risques et de notification des incidents aux entités essentielles et importantes. Il définit les responsabilités sectorielles et les mécanismes de notification. L'Autorité maltaise pour la cybersécurité supervise la mise en œuvre et l'application de la loi.
La loi néerlandaise sur la cybersécurité (Cyberbeveiligingswet) transpose la NIS2 avec des ajustements nationaux pour le traitement des incidents, la coopération sectorielle et la coordination public-privé. Elle s'applique aux entités essentielles et importantes des secteurs critiques. Le Centre national de cybersécurité (NCSC), qui dépend du ministère de la justice et de la sécurité, est l'organe d'exécution principal.
L'ordonnance d'urgence roumaine n° 155/2024 applique la directive NIS2 au niveau national, en ajoutant des exigences techniques et procédurales pour les opérateurs des secteurs public et privé. La Direction nationale de la cybersécurité (DNSC) est chargée de la surveillance, de l'application et de la coordination sectorielle.
La loi espagnole sur la cybersécurité transpose la NIS2 avec des procédures nationales de désignation, de contrôle de la conformité et de sanctions. Elle comprend des mesures supplémentaires pour le secteur de l'administration publique et renforce les capacités de réponse aux incidents. Le Conseil national de la cybersécurité coordonne l'application de la loi avec les autorités sectorielles compétentes.
La loi suédoise sur la cybersécurité met en œuvre les exigences de la NIS2 pour les entités essentielles et importantes, avec des orientations et des mécanismes de coordination spécifiques à chaque secteur. L'Agence suédoise pour les situations d'urgence civile (MSB) fait office d'autorité de surveillance primaire, avec l'aide des régulateurs sectoriels compétents.
Vous pouvez désormais activer vos lois nationales sur Cyberday! Vous y trouverez la version générale de l'UE de la directive NIS2, ainsi que les lois nationales des pays faisant partie du cadre NIS2. Activez la législation de votre choix en cliquant sur un bouton.
.png)
