Insight

NIS 2 : où en sont les pays européens dans la transposition de la directive ?

Publié le 25 novembre 2024

  • Cybersécurité
NIS2 directive -Europe - Cyber

La directive européenne NIS 2 (Network and Information Security) doit être transposée dans le droit national de chaque État membre de l’Union Européenne.

Face à des acteurs malveillants toujours plus performants et mieux outillés, touchant de plus en plus d’entités trop souvent mal protégées, NIS 2 renforce les acquis de la NIS pour davantage de sécurité. Le texte européen élargit de manière drastique le volume d’entités concernées par la règlementation. Celle-ci concerne des entreprises de secteurs et de tailles diverses, allant des PME aux grandes entreprises. La variété de ce périmètre constitue sans nul doute un vrai défi pour les autorités nationales qui, en transposant le texte, doivent décliner les exigences de sécurité qui s’appliqueront aux différentes organisations.

Malgré la date limite de transposition fixée au 17 octobre 2024 par la Commission Européenne, les pays de l’UE présentent des avancées hétérogènes sur leur transposition. Ils ont parfois pris des orientations différentes quant au processus de transposition (consultation publique vs. fermée, mise en cohérence avec des lois nationales déjà existantes, communication plus au moins poussée allant jusqu’à la mise à disposition d’outils d’aide en ligne pour les entités…).

Cet article compare le niveau de transposition dans chaque État membre en date du 18 octobre 2024.

Des avancées hétérogènes dans le processus de transposition

Des avancées hétérogènes dans le processus de transposition

Pays avec un niveau de maturité 4

NIS2 - Pays niveau maturite 4

Pays ayant un niveau de maturité 3

NIS2 - pays avec maturite niveau 3

Pays ayant un niveau de maturité 1 et 2

NIS2 - pays niveau maturité 1 ou 2

Focus sur certains pays européens

Niveau de maturité = 3

Le projet de loi NIS 2 (NIS2UmsuCG), a été approuvé par le Gouvernement Fédéral allemand le 24 Juillet 2024. Cependant, il doit encore être adopté par le Parlement fédéral avant son entrée en vigueur prévue pour mars 2025.

Etapes clés

  • Avril 2023 : première version du projet de loi
  • Juillet 2023 : deuxième version du projet de loi
  • Décembre 2023 : troisième version du projet de loi
  • Mai 2024 : quatrième version du projet de loi
  • Juillet 2024 : cinquième version du projet de loi, approuvée par le Gouvernement Fédéral (Bundesregierung)
  • Septembre 2024 : le Conseil Fédéral (Bundesrat) publie son avis sur le projet de loi transposant NIS 2
  • Octobre 2024 : le projet de loi est soumis au Parlement (Bundestag)
  • Mars 2025 : Entrée en vigueur prévisionnelle (à confirmer)

Spécificités nationales
La BSI Act adoptée en 1991, confère au BSI le mandat de garantir la sécurité des SI.
L’IT Security Act, promulguée en 2015 et mise à jour en 2021 à travers l’IT Security Act 2.0, étend les responsabilités du BSI et impose des mesures de sécurité aux opérateurs d’infrastructures critiques. Parallèlement, le règlement KRITIS identifie une liste de secteurs critiques au sein de l’économie allemande (énergie, eau, alimentation, santé,…) et renforce les mesures de sécurité à appliquer par ces entités.
L’Allemagne a clarifié les catégories d’entités qui seront concernées par NIS2 en lien avec KRITIS. La directive NIS 2 concernera 2 catégories d’entités :

  • les entités particulièrement importantes (composées des entités KRITIS et des Entités Essentielles au sens de NIS 2);
  • les entités importantes (composées des Entités Importantes au sens de NIS 2).

La BSI met à disposition des recommandations pour anticiper l’arrivée de la transposition NIS 2 allemande et recommande notamment de désigner des personnes responsables de cybersécurité au sein de l’entité et de réaliser d’un premier état des lieux de maturité en cybersécurité.

Autorité(s) compétente(s) : BSI (Bundesamt für Sicherheit in der Informationstechnik)

Auteur

  • Ouala Barhoumi

    Manager – France, Paris

    Wavestone

    LinkedIn