NIS 2 : où en sont les pays européens dans la transposition de la directive ?
Publié le 25 novembre 2024
- Cybersécurité
La directive européenne NIS 2 (Network and Information Security) doit être transposée dans le droit national de chaque État membre de l’Union Européenne.
Face à des acteurs malveillants toujours plus performants et mieux outillés, touchant de plus en plus d’entités trop souvent mal protégées, NIS 2 renforce les acquis de la NIS pour davantage de sécurité. Le texte européen élargit de manière drastique le volume d’entités concernées par la règlementation. Celle-ci concerne des entreprises de secteurs et de tailles diverses, allant des PME aux grandes entreprises. La variété de ce périmètre constitue sans nul doute un vrai défi pour les autorités nationales qui, en transposant le texte, doivent décliner les exigences de sécurité qui s’appliqueront aux différentes organisations.
Malgré la date limite de transposition fixée au 17 octobre 2024 par la Commission Européenne, les pays de l’UE présentent des avancées hétérogènes sur leur transposition. Ils ont parfois pris des orientations différentes quant au processus de transposition (consultation publique vs. fermée, mise en cohérence avec des lois nationales déjà existantes, communication plus au moins poussée allant jusqu’à la mise à disposition d’outils d’aide en ligne pour les entités…).
Cet article compare le niveau de transposition dans chaque État membre en date du 18 octobre 2024.
Des avancées hétérogènes dans le processus de transposition
Cette carte, mise à jour le 18 octobre 2024 présente les différents niveaux de maturité de l’ensemble des pays européens face à la Directive NIS2.
Niveau de maturité 1 : Peu d’avancées ou peu d’informations communiquées sur la transposition
Les pays concernés sont : Royaume-Uni, Espagne
Niveau de maturité 2 : De nombreux évènements clés et un niveau de transposition intermédiaire
Les pays de maturité 1 ou 2 sont : Suède, Irlande, Pays-Bas, Portugal, Estonie, Pologne, Slovaquie, Slovénie, Bulgarie, Grèce, Chypre, Malte
Niveau de maturité 3 : Projet de loi en cours de proposition auprès des instances législatives
Les pays concernés sont : Danemark, Luxembourg, France, Autriche, Finlande, Allemagne, République Tchèque, Roumanie
Niveau de maturité 4 : Projet de loi approuvé
Les pays concernés sont : Belgique, Italie, Lettonie, Lithuanie, Hongrie, Croatie
Pays avec un niveau de maturité 4
Cette carte, mise à jour le 18 octobre 2024 présente les différents niveaux de maturité de l’ensemble des pays européens face à la Directive NIS2.
Les pays de maturité 4 sont ceux ayant approuvé leur transposition NIS2 avant la date limite de la Commission européenne
Les pays concernés sont : Belgique, Italie, Lettonie, Lithuanie, Hongrie, Croatie
Belgique
- La loi a été approuvé le 18 avril 2024 par le Parlement et l’arrêté royal d’exécution qui précise ses modalités pratiques de mise en œuvre a été signé le 9 juin 2024.
- L’entrée en vigueur de la loi a eu lieu le 18 octobre 2024 et les délais de conformité sont jalonnés de 5 à 30 mois.
- Les mesures de sécurité s’appuient sur le référentiel CyFun® du CCB.
Italie
- Le décret législatif N°138 transposant la directive NIS 2 a été définitivement approuvé le 4 septembre et est entré en vigueur le 16 octobre 2024.
- A compter de la validation de leur enregistrement par l’ACN, entités assujetties disposeront de 9 mois pour se conformer à l’obligation de déclaration de leurs incidents et de 18 mois pour implémenter les mesures de sécurité.
Lettonie
- La loi sur la cybersécurité nationale a été adoptée par le Parlement le 20 juin et est entrée en vigueur le 1er septembre 2024.
- Les entités devront s’enregistrer avant le 1er avril 2025 et commencer à déclarer leurs incidents à partir du 1er juillet 2025.
Lithuanie
- La loi sur la cybersécurité N°XII-1428 été adoptée le 11 Juillet et est entrée en vigueur le 17 octobre 2024.
- Des textes d’application de cette loi devront être mis à disposition par le gouvernement.
Hongrie
- Le 15 mai 2023, le Parlement hongrois a promulgué la loi XXIII sur la certification et la supervision de la cybersécurité
- Par la suite, la loi a été complétée d’un règlement qui précise des critères de classification des SI et les mesures de sécurité associés à chaque niveau.
- Les entités doivent d’ici fin 2024 se notifier et sélectionner un organisme d’audit parmi la liste mis à disposition par l’autorité. Un premier audit devra être réalisé au plus tard le 31 décembre 2025, puis les audits suivants devront avoir lieu tous les deux ans.
Croatie
- Entrée en vigueur le 15 février 2024, la Croatian Cyber Security Act (CSA ou Zakon o kibernetičkoj sigurnosti n° 14/2024) transpose partiellement NIS 2.
- Les autorités compétentes par secteur d’activité doivent notifier, au plus tard en février 2025, les entités concernées par la loi. Par la suite, ces entités ont un délai légal de 30 jours pour déclarer leurs incidents de sécurité et un délai de 1 an pour se conformer aux autres exigences.
- Afin de compléter la transposition de la NIS 2, le Gouvernement croate doit promulguer des règlementations additionnelles.
Pays ayant un niveau de maturité 3
Cette carte, mise à jour le 18 octobre 2024 présente les différents niveaux de maturité de l’ensemble des pays européens face à la Directive NIS2.
Les pays d’un niveau de maturité 3 sont ceux ayant avancé significativement dans le processus de transposition (projet de loi en cours de proposition auprès des instances législatives)
Les pays concernés sont : Danemark, Luxembourg, France, Autriche, Finlande, Allemagne, République Tchèque, Roumanie
Danemark
En juillet 2024, le Ministère de la Défense a mis en consultation un projet de loi visant à mettre en œuvre NIS 2 dans divers secteurs (hors énergie, télécommunications et finance). Pour ces 3 derniers secteurs, des projets de lois respectifs sont soit en cours d’examen soit déjà approuvés par le Parlement.
Luxembourg
- Un projet de loi a été déposé auprès de la Chambre des députés le 13 mars 2024 et celle-ci a rendu un avis. Le Conseil d’État a également publié son avis en octobre 2024. Ces avis incluent des recommandations et des demandes de précisions telle que la clarification des délais et des comportements sanctionnables.
- Par ailleurs, l’Institut Luxembourgeois de Régulation organise régulièrement des sessions d’information publiques.
France
- La transposition NIS 2 est prévu à travers un projet de loi sur la résilience qui vise également à décliner les directives REC (résilience des entités critiques) et DORA.
- Suite à la dissolution de l’Assemblé Nationale en juin 2024, le calendrier a été affecté. Le projet a été présenté en Conseil des Ministres le 15 octobre 2024 et les étapes suivantes sont à la main du Parlement.
Autriche
Le premier projet de loi visant à transposer la directive NIS 2 a été rejeté par le Conseil National le 4 juillet 2024. Suite à cela, le texte a été révisé et soumis de nouveau au Conseil National en septembre 2024.
Finlande
- Un projet de loi est en cours d’examen par le Parlement depuis mai 2024.
- Les obligations applicables aux entreprises privées et celles pour le secteur public devraient être détaillées dans 2 lois spécifiques. De même, 2 régulateurs seront en charge de suivre ces entités.
Allemagne
- La 5ème version du projet de loi de transposition (NIS2UmsuCG) a été acceptée par le gouvernement fédéral le 24 Juillet 2024 et doit encore être approuvé par le Parlement fédéral.
- Cette règlementation viendra renforcer l’IT Security Act 2.0, loi allemande déjà existante sur les entités critiques.
République Tchèque
- Le projet de loi de transposition a été approuvé par le gouvernement le 17 juillet 2024 et soumis au Parlement. Une fois approuvé par la Chambre des Députés, il devra recevoir l’aval du Sénat et la signature du Président de la République.
- Trois propositions de décrets l’accompagnent pour clarifier, entre autres, les règles de sécurité et les modalités d’enregistrement des entités.
Roumanie
Le projet de loi a été soumis au Parlement le 15 août 2024. Cette loi abrogera la loi existante (loi 362/2018).
Pays ayant un niveau de maturité 1 et 2
Cette carte, mise à jour le 18 octobre 2024 présente les différents niveaux de maturité de l’ensemble des pays européens face à la Directive NIS2.
Les pays au niveaux de maturité 1 et 2 sont ceux en début (1) ou milieu (2) de processus de transposition
Niveau de maturité 1 : Peu d’avancées ou peu d’informations communiquées sur la transposition
Les pays concernés sont : Royaume-Uni, Espagne
Niveau de maturité 2 : De nombreux évènements clés et un niveau de transposition intermédiaire
Les pays de maturité 1 ou 2 sont : Suède, Irlande, Pays-Bas, Portugal, Estonie, Pologne, Slovaquie, Slovénie, Bulgarie, Grèce, Chypre, Malte
Suède
Une Commission d’enquête, désignée par le Gouvernement afin d’étudier l’adaptation de la NIS 2 à la législation suédoise, a émis un rapport en mars 2024. Elle recommande notamment de remplacer la loi 2018:1174, qui met en œuvre NIS 1, par une nouvelle loi pour mieux y intégrer les évolutions de la directive.
Irlande
Un projet de loi est en cours de rédaction. Les grandes orientations du projet de loi ont été publiés sur le site web du Département de l’Environnement, du Climat et des Communications (DECC) en septembre 2024.
Royaume-Uni
Le Royaume-Uni envisage de faire évoluer sa NIS locale même s’il n’est plus membre de l’UE.
Pays-Bas
La transposition devrait passer par un amendement de la loi actuelle Wbni. Un projet de loi a été publié pour consultation publique de mai à juin 2024.
Portugal
Le Conseil des Ministres a approuvé un premier projet de loi le 24 octobre 2024 qui doit faire l’objet d’une consultation publique courant novembre avant d’être soumis auprès du Parlement.
Espagne
L’Espagne a organisé fin 2023 une consultation publique. Le Centre National de Cryptologie (CNN-CERT), a publié un profil de conformité en avril 2024, pour aider les entreprises à se préparer à la transposition.
Estonie
Suite à une série de consultations publiques menées en juin 2023, l’Estonie devrait présenter prochainement au Parlement un projet d’amendement de la loi de 2018 sur la cybersécurité.
Pologne
Un projet de loi afin d’amender la loi existante sur le Système National de Cybersécurité a fait l’objet d’une consultation publique jusqu’en mai 2024.
Slovaquie
La transposition NIS 2 doit passer par une mise à jour de la loi actuelle N° 69 sur la cybersécurité. Un projet d’amendement de celle-ci a été soumis par la National Security Authority le 30 mai 2024 pour consultation interministérielle.
Slovénie
Le projet de loi a été soumis à consultation publique en février, puis, de nouveau, en mai 2024.
Bulgarie
Des amendements du Cybersecurity Act de 2018 ont fait l’objet d’une consultation publique sur l’été 2024.
Grèce
La transposition NIS 2 se fait par le biais d’un projet de loi qui abrogera et remplacera la loi N°4577/2018. Le Ministre de la gouvernance numérique a présenté ce projet au Conseil des Ministres le 28 août 2024.
Chypre
La Digital Security Authority (DSA) a partagé publiquement, fin 2023, les amendements qu’elle envisage pour la loi N°89 de 2020 sur la sécurité des réseaux et des systèmes d’information
Malte
Un projet de loi a été partagé pour consultation publique de septembre à octobre 2024.
Focus sur certains pays européens
Niveau de maturité = 3
Le projet de loi NIS 2 (NIS2UmsuCG), a été approuvé par le Gouvernement Fédéral allemand le 24 Juillet 2024. Cependant, il doit encore être adopté par le Parlement fédéral avant son entrée en vigueur prévue pour mars 2025.
Etapes clés
- Avril 2023 : première version du projet de loi
- Juillet 2023 : deuxième version du projet de loi
- Décembre 2023 : troisième version du projet de loi
- Mai 2024 : quatrième version du projet de loi
- Juillet 2024 : cinquième version du projet de loi, approuvée par le Gouvernement Fédéral (Bundesregierung)
- Septembre 2024 : le Conseil Fédéral (Bundesrat) publie son avis sur le projet de loi transposant NIS 2
- Octobre 2024 : le projet de loi est soumis au Parlement (Bundestag)
- Mars 2025 : Entrée en vigueur prévisionnelle (à confirmer)
Spécificités nationales
La BSI Act adoptée en 1991, confère au BSI le mandat de garantir la sécurité des SI.
L’IT Security Act, promulguée en 2015 et mise à jour en 2021 à travers l’IT Security Act 2.0, étend les responsabilités du BSI et impose des mesures de sécurité aux opérateurs d’infrastructures critiques. Parallèlement, le règlement KRITIS identifie une liste de secteurs critiques au sein de l’économie allemande (énergie, eau, alimentation, santé,…) et renforce les mesures de sécurité à appliquer par ces entités.
L’Allemagne a clarifié les catégories d’entités qui seront concernées par NIS2 en lien avec KRITIS. La directive NIS 2 concernera 2 catégories d’entités :
- les entités particulièrement importantes (composées des entités KRITIS et des Entités Essentielles au sens de NIS 2);
- les entités importantes (composées des Entités Importantes au sens de NIS 2).
La BSI met à disposition des recommandations pour anticiper l’arrivée de la transposition NIS 2 allemande et recommande notamment de désigner des personnes responsables de cybersécurité au sein de l’entité et de réaliser d’un premier état des lieux de maturité en cybersécurité.
Autorité(s) compétente(s) : BSI (Bundesamt für Sicherheit in der Informationstechnik)
Niveau de maturité = 4
La loi de transposition a été votée le 26 avril 2024 par le Parlement Belge. Elle est accompagnée d’un arrêté royal qui précise les modalités pratiques de mise en œuvre de cette loi. La loi est officiellement entrée en vigueur le 18 octobre 2024. Le référentiel cyber qui l’accompagne est le CyFun construit par le CCB. Une présomption de conformité à ISO 27001 peut être envisagée.
Etapes clés
- 10 novembre 2023 : le Conseil des ministres belge approuve, en première lecture, l’avant-projet de loi visant à transposer la directive européenne NIS 2
- 16 novembre 2023 – 21 décembre 2023 : le CCB organise une consultation publique sur cet avant-projet
- 27 mars 2024 : le projet de loi de transposition de NIS 2 est approuvé en Commission Intérieur de la Chambre des représentants
- 26 avril 2024 : la loi NIS 2 est votée en séance plénière par la Chambre des représentants et publié au Moniteur Belge le 17 mai 2024. Nom officiel de la loi : loi établissant un cadre pour la cybersécurité des réseaux et des systèmes d’information d’intérêt général pour la sécurité publique
- 9 juin 2024 : Un arrêté royal d’exécution est publié. Cet arrêté précise les modalités pratiques liées à la mise en œuvre de la loi : les modalités d’évaluation régulière des entités (obligatoires pour les Entités Essentielles et volontaires pour les Entités Importantes) et les conditions d’agrégation des organismes de contrôle.
- 18 octobre 2024 : entrée en vigueur de la loi
Spécificités nationales
- La conformité au cadre CyFun, tout comme la certification à la norme ISO 27001, jouera de présomption de conformité à NIS 2.
- Le CyFun propose 4 niveaux d’assurance (Small, Basic, Import, Essential) et est accompagné de 4 outils :
- Assessment Tool : Un questionnaire basé sur la cartographie du CyFun pour évaluer si une entité atteint le niveau de sécurité visé.
- Outil d’Analyse de Risque : Permet d’évaluer les risques spécifiques au secteur d’activité et de déterminer le niveau de conformité nécessaire.
- Modèles de Politiques de Sécurité : Fournissent une base pour les entités ayant moins d’expérience en cybersécurité.
- Cartographie du CyberFundamentals Framework : Offre un aperçu des exigences et des liens avec d’autres frameworks du marché.
Autorité(s) compétente(s) : CCB (Centre pour la Cybersécurité Belgique)
Niveau de maturité = 3
Le projet de loi sur la résilience qui englobe la transposition de NIS 2, REC et DORA a été présenté au Conseil des ministres le 15 octobre 2024. Les prochains jalons liées à l’approbation de la loi par le Parlement sont à la main du Parlement. L’ANSSI a partagé un référentiel de mesures de sécurité en version temporaire dans des consultations fin 2023 (abordant la notion de Système d’Information Règlementé, ou SIR, notion qui peut être amenée à évoluer dans la version définitive). Le projet sera accompagné par la suite d’une vingtaine de décrets d’application. Un de ces décrets devrait préciser la version finale des mesures de sécurité.
Etapes clés
L’ANSSI a privilégié une méthode participative, impliquant des acteurs clés du secteur, y compris des fédérations professionnelles sectorielles comme l’UFE (Union Française de l’Électricité), des associations en cybersécurité (CLUSIF, CESIN) et des prestataires qualifiées (PASSI, PRIS, PDIS etc.)
La phase de consultation portait sur 3 thèmes :
- Septembre : le périmètre des entités assujetties
- Octobre : les modalités d’interaction entre l’ANSSI et les entités assujetties
- Novembre : les exigences de cybersécurité
- 21 mai 2024 : la CSNP (Commission Supérieure du Numérique et des Postes) émet un premier avis comprenant 14 recommandations sur le projet de loi résilience, soulignant notamment l’importance de définir une liste claire des secteurs critiques et hautement critiques, ainsi que de hiérarchiser les obligations pour les entités.
- 3 octobre 2024 : la CSNP émet un second avis avec 32 recommandations sur les enjeux de la transposition de la directive NIS 2, insistant sur la nécessité de fixer le délai de mise en conformité au 31 décembre 2027, de mener une campagne de communication ciblée à l’attention des entités concernées, et d’intégrer dans la loi une clause d’adaptabilité aux évolutions technologiques, notamment celles liées à l’IA.
- 15 octobre 2024 : un projet de loi « Résilience des infrastructures critiques et renforcement de la cybersécurité » est présenté en Conseil des ministres.
Prochainement : le projet de loi doit être approuvé au Parlement.
Spécificités nationales
L’ANSSI a prévu de mettre en place plusieurs outils d’aide en ligne, dont certains sont accessibles en version beta :
- Un outil d’évaluation de l’éligibilité d’une organisation à NIS 2
- Un service d’accompagnement à la mise en place d’une démarche de sécurité
- Un outil de pilotage de mesures de sécurité
Autorité(s) compétente(s) : ANSSI (Agence nationale de la sécurité des systèmes d’information)
Niveau de maturité = 1
Bien que non concerné par la directive NIS 2, à la suite du Brexit, le Royaume-Uni envisage de faire évoluer sa règlementation cybersécurité actuelle dont la transposition britannique de NIS 1.
Etapes clés
- 2018 : le Royaume-Uni, alors membre de l’UE, transpose la directive européenne NIS 1 dans son droit national. Pour chaque secteur d’activité concerné, une autorité compétente est identifiée (NIS Regulator). Des guides (guidance) contenant des mesures de sécurité ont également été mis à disposition par secteur d’activités.
- 2022 : À la suite d’une consultation publique sur les moyens d’accroître la résilience cyber du Royaume-Uni, le Gouvernement annonce son intention de mettre à jour la réglementation NIS afin de renforcer la cybersécurité nationale.
- 17 juillet 2024 : Le Gouvernement réaffirme sa volonté de mettre à jour les réglementations britanniques existantes en matière de cybersécurité, héritées de l’UE (notamment la NIS 1), via un projet de loi sur la cybersécurité et la résilience.
Spécificités nationales
Les modifications envisagées par le Gouvernement concernent notamment :
- l’intégration des fournisseurs de services gérés (MSP) dans le champ d’application de la réglementation pour assurer la sécurité des chaînes d’approvisionnement numériques
- l’amélioration de la notification des incidents de cybersécurité aux autorités
- la mise en place d’un système de recouvrement des coûts pour faire appliquer la réglementation NIS.
Autorité(s) compétente(s) : DSIT (Department for Science, Innovation and Technology) – 1 régulateur par secteur d’activité
Niveau de maturité = 3
Le projet de loi de transposition a été déposé auprès de la Chambre des Députés le 13 mars 2024. Le Conseil d’Etat a publié son avis sur ce projet ainsi que plusieurs recommandations. Le projet doit encore être approuvé. Des sessions d’informations sont organisées régulièrement par les autorités.
Etapes clés
- Mars 2024 : Un projet de loi est déposé auprès de la Chambre des Députés.
- Avril 2024 : L’Institut Luxembourgeois de Régulation (ILR) organise une session publique de partage d’information, complétée par une seconde session en septembre 2024.
- Octobre 2024 : Le Conseil d’Etat publie son avis sur le projet de loi en formulant 25 recommandations. Il recommande notamment une coordination avec la directive sur la Résilience des Entités Critiques (REC), met en garde contre les risques de divergence entre l’ILR et la CSSF (superviseur du secteur financier) et souligne la nécessité de clarifier les comportements soumis à sanctions.
- Prochainement : Le projet de loi doit être adopté par le Parlement.
Spécificités nationales
L’ILR travaille sur les mesures de sécurité, qui seront sans doutes alignées ou inspirées de normes existantes (ex : ISO 270001) ou de pratiques des autres pays (ex : le référentiel belge CyFun).
Autorité(s) compétente(s) : ILR (Institut Luxembourgeois de Régulation)
Auteur
-
Ouala Barhoumi
Manager – France, Paris
Wavestone
LinkedIn