La Belgique, la Hongrie et la Croatie ont déjà adopté la législation de mise en œuvre de la NIS2. Trois sur vingt-sept, c’est peu, analysait Mayer Brown en août dernier. Explications.
Début août, près de deux mois avant la date limite fixée par l’Union européenne, seuls trois des vingt-sept États membres – la Belgique, la Croatie et la Hongrie – avaient adopté des lois pour la mise en œuvre de la directive NIS2. Triste constat, selon le cabinet d’avocats Mayer Brown, spécialisé dans les opérations de croissance externe, de restructuration et de financement.
D’autres États membres de l’UE, comme l’Allemagne, la Pologne et la Suède, ont déjà publié des projets de législation de mise en œuvre de la NIS2. Cependant, notent les auteurs de l’étude, « il apparaît clairement que tous les États membres de l’UE ne seront pas en mesure d’adopter des mesures nationales de mise en œuvre d’ici le 17 octobre 2024, date de la fin de la période de transposition ». De fait, certains États membres, comme les Pays-Bas et le Danemark, ont déjà indiqué qu’ils ne seraient probablement pas en mesure de respecter le délai.
Adaptations, ajouts…
Pourquoi un tel retard alors que le temps presse ? La question est d’autant plus interpellante que NIS2 marque une évolution significative par rapport à NIS1. En effet, elle ne se contente pas d’étendre son champ d’application à 18 secteurs contre 10 précédemment, elle le fait avec une ambition sans précédent. Désormais, des domaines aussi divers que l’énergie, la santé, la finance, et même l’alimentation sont soumis à des exigences de cybersécurité strictes. Cette expansion n’est pas fortuite. Les cybermenaces se multiplient, se perfectionnent, et ciblent de plus en plus d’entités, y compris celles qui étaient jusqu’ici plus épargnées.
Dans son analyse, Mayer Brown constate aussi que des pays comme la Pologne et la République tchèque adaptent la directive en ajoutant des sous-catégories spécifiques. Ou en élargissant son champ d’application. En Hongrie, une classification stricte des systèmes informatiques est imposée sans distinction entre les installations essentielles et importantes.
Les dates d’applications vont glisser
Globalement, tandis que quelques États suivent de près le texte de la directive, d’autres sont confrontés à des défis législatifs. De’autres, encore, choisissent d’introduire des adaptations spécifiques. Le risque est grand : retarder l’uniformité de la mise en œuvre à l’échelle européenne.
Les prochains mois seront déterminants. Dans cette course contre la montre, seuls les plus proactifs réussiront à éviter les sanctions sévères qui accompagnent la non-conformité. Certains mise sur un glissement des dates d’application.