Introduisant des obligations renforcées en matière de gestion des risques cybersécurité, notification d’incidents et de responsabilité à l’échelle d’un pays, la directive européenne NIS 2 sur la sécurité des réseaux et des systèmes d’information devrait déjà être transposée dans notre droit national. En effet, la Commission européenne avait fixé l’échéance de cette transposition jusqu’au 17 octobre 2024 mais manifestement plusieurs pays ne sont pas vraiment pressés de se conformer à leurs obligations.
La Commission européenne a ainsi annoncé avoir saisi la Cour de justice européenne d'un recours contre l'Espagne, la France, l’Irlande et les Pays-Bas pour défaut de transposition de cette directive visant à renforcer la cybersécurité de l'UE. Pour faire face à la multiplication des cybermenaces, la directive NIS 2 impose en effet aux États membres de renforcer leurs capacités dans ce domaine et d'introduire des mesures de gestion des risques et des obligations de signalement des incidents pour les entités de 18 secteurs critiques. « Il est essentiel que cette directive soit pleinement mise en œuvre afin d'améliorer la résilience de l'UE et de renforcer la capacité de réaction aux incidents des entités publiques et privées qui opèrent dans ces secteurs critiques et de l'UE dans son ensemble », prévient la Commission.
Un risque d'amende et d'astreintes
Pour justifier son retard, la France met en avant un désaccord avec l'article 16 ayant pour objet d'inscrire dans la loi l'interdiction, pour les fournisseurs de services de chiffrement, d'intégrer des portes dérobées (backdoors) dans leurs produits. Avec pour effet collatéral, selon certains députés et sénateurs, d'empêcher les services de renseignement français d'accéder de manière ciblée et sous contrôle judiciaire aux communications chiffrées d'individus sous surveillance. De son côté, l'Anssi, par la voix de Vincent Strubel son directeur général, a regretté devant le Sénat que la directive NIS 2 ne soit pas encore transposée tout en signifiant en même temps que cela ne remettait pas en cause la nécessité pour les entreprises et les collectivités de se préparer.
La saisie de la Cour est la suite d’une procédure entamée depuis le 28 novembre 2024 à l’origine auprès de 23 pays de l’union. Si au fil du temps 19 d’entre eux ont régularisé leur situation après des mises en demeure et des avis motivés, ce n’est donc toujours pas le cas pour l'Espagne, la France, l’Irlande et les Pays-Bas. Avec à la clé un risque d’être frappés au portefeuille : « Dans le cadre de ces saisines, elle demande à la Cour d'imposer des sanctions financières, une somme forfaitaire et des astreintes journalières jusqu'à la notification de la transposition complète », fait savoir la Commission européenne. Un risque financier que la France, en ces temps de disette économique, est prête à assumer ? A l'exécutif de trancher...

Commentaire