La Commission européenne a renvoyé la France, l’Irlande, les Pays-Bas et l’Espagne devant la Cour de justice de l’Union européenne après que les quatre pays n’ont pas mis en œuvre la directive sur la cybersécurité NIS2 dans le délai imparti. La directive devait être transposée en droit national d’ici le 17 octobre 2024, mais les quatre États membres n’ont pas encore achevé le processus.
NIS2 est le cadre de cybersécurité mis à jour de l’Union européenne visant à renforcer la protection des organisations opérant dans des secteurs critiques. Les règles s’appliquent à des secteurs tels que la santé, l’énergie, la finance, les transports, les infrastructures numériques, l’administration publique et les télécommunications, exigeant que les organisations adoptent des mesures de cybersécurité renforcées et signalent les incidents cybernétiques majeurs.
La Commission européenne a déclaré que la directive est essentielle pour améliorer la résilience des organisations publiques et privées face aux menaces cybernétiques. Elle établit également une coopération plus étroite entre les États membres de l’UE par le partage d’informations et la coordination des interventions, tout en introduisant des obligations plus strictes de gestion des risques et de reporting pour les entités concernées.
En renvoyant les quatre pays devant la plus haute juridiction de l’UE, la Commission cherche à faire respecter la législation sur la cybersécurité du bloc. Si la Cour de justice statue contre les États membres et qu’ils continuent de retarder leur mise en œuvre, ils pourraient faire face à des sanctions financières.
La plupart des autres pays de l’UE ont déjà adopté une législation nationale mettant en œuvre la directive. Les Pays-Bas, cependant, ont récemment progressé après que les deux chambres du parlement ont approuvé la loi sur la cybersécurité du pays, qui intègre les exigences du NIS2 dans la législation néerlandaise. La législation devrait entrer en vigueur le 15 août, plaçant plus de 8 000 organisations néerlandaises sous le nouveau cadre de cybersécurité.
Une fois mis en œuvre, le NIS2 exigera des organisations concernées qu’elles renforcent leur gouvernance en cybersécurité, améliorent la sécurité de la chaîne d’approvisionnement, établissent des procédures de réponse aux incidents et signalent les incidents cybernétiques importants dans les délais prescrits. Les dirigeants de l’entreprise pourraient également faire face à une responsabilité accrue dans la supervision de la cybersécurité en vertu des exigences de gouvernance de la directive.