C’est ce vendredi 18 octobre que la directive européenne NIS2 entre en vigueur, mais pratiquement aucun état membre de l’UE n’a encore transposé ces règles dans sa législation nationale. Seules la Belgique et la Croatie y sont parvenues.
Les lois européennes sont généralement transposées dans en lois nationales dans chaque état membre, avec parfois des adaptations locales mineures. Cela signifie que de nombreuses lois européennes ne sont appliquées localement qu’1 à 2 ans après avoir été votées. Dans le cas présent, la directive NIS2 a été adoptée au Parlement européen le 14 décembre 2022.
La plupart des états membres sont à la traîne au niveau de leur transposition. L’UE signale que seules la Belgique et la Croatie ont fait savoir qu’une loi nationale sur la directive sur la cybersécurité était prête.
Le 26 avril dernier, notre pays a publié la loi transposant NIS2 en droit national, qui a été publiée au Moniteur belge le 17 mai. Celle-ci a été suivie le 9 juin par l’arrêté royal (publié le 26 juin 2024) pour entériner la transposition.
Cela signifie que notre pays est pratiquement le seul, avec la Croatie, à avoir créé un cadre national et ce, en février déjà. Euronews fait toutefois observer que cette conversion n’est qu’une transposition partielle. Il nous faut faire remarquer ici qu’avoir voté une loi nationale ne signifie pas que toutes les entreprises sont prêtes. A l’inverse, cela ne signifie pas non plus que les entreprises ne sont pas prêtes, parce qu’il n’y a pas de loi nationale. Mais il n’y a aucune menace latente à faire appliquer les règles.
NIS2 est l’abréviation de Network and Information Security Directive et succède à la première directive NIS de 2016. Elle renforce et affine les règles pour les entreprises en matière de lutte contre les risques de sécurité, y compris dans leur chaîne d’approvisionnement.
C’est ainsi qu’elle impose aux entreprises de procéder à une gestion des risques et, par exemple, d’émettre un avertissement dans les 24 heures, ainsi qu’un rapport d’incident dans les 72 heures en cas de problèmes graves perturbant le fonctionnement opérationnel. Les entreprises qui ne s’y conforment pas, s’exposent à une amende pouvant aller jusqu’à dix millions d’euros ou deux pour cent de leur chiffre d’affaires mondial, ce qui est comparable à ce que prévoit le règlement RGPD.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici