Patatras. Décidément, la transposition de la directive européenne NIS 2 (Network and information security) fait les frais de l’instabilité gouvernementale. Dans les cartons depuis le printemps dernier, ce texte avait d’abord été la victime indirecte de la dissolution de l’Assemblée nationale de juin dernier. Puis le gouvernement Barnier avait bien déposé un projet de loi à l’automne. Mais sa censure va à nouveau retarder l’examen de ce dossier.
Pourtant, comme le relève l’entreprise de conseil en management et transformation Wavestone, la situation pourrait être pire.
La société a en effet classé les pays européens en quatre niveaux de maturité, selon leur avancement dans la transposition de la directive européenne. Cette dernière était censée être intégrée dans les droits nationaux avant le 18 octobre 2024.
La Hongrie, première à légiférer
Les bons élèves sont la Belgique, l’Italie, la Lettonie, la Lituanie, la Hongrie et la Croatie, signale l’entreprise. Ces six pays ont en effet déjà transposé NIS 2 dans leur droit. Les Hongrois étaient les premiers à avoir légiféré, au printemps 2023, avant de compléter leur nouvelle loi par un règlement.
Pour Wavestone, la France fait partie des pays à la maturité inférieure, avec l’Allemagne, l’Autriche, le Danemark, la Finlande, le Luxembourg, la République Tchèque et la Roumanie.
Tous ces pays ont lancé un projet de loi pour transposer la directive… Toutefois quelques mois plus tôt que la France, de mars pour le Luxembourg à août pour la Roumanie.
Un gros peloton
Reste tous les autres moins bons élèves, les treize pays de l’Union restants. La Grèce, classée dans le groupe de maturité 2, a tout de même déposé son projet de loi en conseil des ministres à la fin août 2024, avant donc l’Hexagone. L’Irlande est pour sa part en train de plancher sur la rédaction de son projet de loi
D’autres transpositions sont toujours floues. L’Espagne a bien organisé à la fin 2023 une consultation publique puis publié un profil de conformité. Quant au Royaume-Uni, même s’il n’est plus membre de l’Union européenne, il envisage également de faire évoluer sa législation locale issue de la directive NIS 1.
En France, la directive NIS 2 devrait concerner plus de 10 000 organisations issues de 18 secteurs d’activités. Avec cette nouvelle réglementation, elles devront fournir des informations à l’Anssi, mettre en place des mesures de gestion des risques adaptées et enfin déclarer leurs incidents de sécurité, pour citer les trois obligations majeures apportées par le texte. Autant d’obligations encore lointaines: le cyber-pompier de l’Etat avait précisé donner trois ans, une fois le texte voté, avant d’exiger une conformité complète.