La directive NIS2 redéfinit les obligations en matière de cybersécurité dans l’UE. Avec déjà 10 États membres ayant transposé NIS2 dans leur droit national, les organisations doivent composer avec un patchwork d’exigences de conformité de plus en plus fragmenté. La directive élargit son champ d’application pour couvrir davantage de secteurs et de partenaires tiers, tout en introduisant une responsabilité personnelle pour les dirigeants. Pour les multinationales, cela implique de piloter la conformité dans un contexte réglementaire morcelé, ce qui nécessite l’implication des conseils d’administration, une mise en œuvre par région et une stratégie claire pour réhausser le niveau de cybersécurité à l’échelle de l’entreprise.

La directive NIS2 (Directive (UE) 2022/2555) marque une évolution majeure dans la façon dont l’Union européenne encadre la cybersécurité. Pensée pour renforcer la résilience numérique dans les services essentiels et critiques, elle introduit des obligations plus strictes, une portée plus large et, pour la première fois, une responsabilité directe pour les dirigeants d’entreprise.

État de la mise en œuvre : une mosaïque de lois nationales

À ce jour, 10 États membres de l’UE ont transposé la directive NIS2 en loi nationale, chacun disposant de son propre cadre de référence juridique et de son propre organisme de mise en application :

• Belgique : loi du 26 avril 2024 relative à la cybersécurité des réseaux et des systèmes pour la sécurité publique
• Croatie : loi sur la cybersécurité
• Grèce : loi sur l’Autorité nationale de cybersécurité et autres dispositions
• Hongrie : loi XXIII de 2023 sur la certification et la supervision de la cybersécurité
• Italie : décret législatif n°138 du 4 septembre 2024
• Lettonie : loi nationale sur la cybersécurité
• Lituanie : loi n°12-1428 sur la cybersécurité
• Roumanie : ordonnance d’urgence sur la cybersécurité du cyberespace civil national
• Slovaquie : loi 366/2024, modifiant les réglementations existantes en matière de cybersécurité
• Finlande : loi sur la cybersécurité (Kyberturvallisuuslaki)

Bien que les avancées soient notables, la divergence dans la manière dont chaque État membre structure la mise en application et les exigences opérationnelles commence à révéler un défi clé de NIS2 : la variabilité.

Un contexte de mise en application fragmenté pour les organisations multinationales

Contrairement aux réglementations centralisées, NIS2 laisse chaque État membre définir ses propres procédures de mise en application, voire élargir le champ d’application de la directive. Il en résulte un paysage réglementaire fragmenté, particulièrement complexe pour les organisations multinationales opérant dans plusieurs juridictions de l’UE.

Les organisations devront prendre en compte :

• les différentes définitions des entités « essentielles » et « importantes »
• les autorités et les échéanciers pour le signalement des incidents propres à chaque État membre
• les sanctions et les exigences d’audit spécifiques à chaque pays
• les critères d’inclusion dans le champ d’application étendus, à la discrétion des autorités nationales

Il est résulte une complexité de la conformité, qui exige une coordination étroite entre les fonctions juridiques, de cybersécurité et de risque, tout en assurant une collaboration continue avec les autorités de contrôle de chaque pays.

Un champ d’application élargi : plus d’entités, plus d’exposition

La portée de NIS2 est élargie. La directive couvre deux catégories d’entités concernées :

• Les entités essentielles : énergie, transport, banque, santé, infrastructure numérique et administration publique
• Les entités importantes : services postaux, production alimentaire, fabrication de produits essentiels et fournisseurs numériques

En outre, les prestataires tiers et les fournisseurs qui jouent un rôle essentiel dans la prestation de ces services sont également soumis aux exigences de gestion des risques et de diligence raisonnable.

Pour compliquer davantage la situation, les États membres conservent le droit d’étendre la portée par le biais de leur législation nationale. Ainsi d’autres secteurs ou des organisations plus petites sont susceptibles de se trouver concernés par la directive. Pour les organisations multinationales, cela introduit une incertitude en matière de conformité et augmente la nécessité d’une gouvernance centralisée avec une mise en œuvre par région.

 
La responsabilité personnelle engagée au plus haut niveau

Pour les dirigeants et les membres du conseil d’administration, NIS2 n’est pas seulement une nouvelle obligation technique, il s’agit également d’une question de leadership. En vertu de l’article 20 de la directive, les organes de direction sont légalement tenus de valider et de superviser les mesures de cybersécurité. En cas de non-conformité, leur responsabilité personnelle peut être engagée.

Cette clause représente un changement significatif :

• La surveillance de la cybersécurité est désormais de la responsabilité du conseil d’administration
• Toute non-conformité peut entraîner des sanctions individuelles, y compris la suspension ou l’exclusion des postes de direction
• Les mécanismes de mise en application deviennent plus agressifs et transparents

Grandir dans l’adversité

En parallèle, NIS2 crée une véritable opportunité pour les dirigeants de renforcer en profondeur la cybersécurité de leur organisation, non seulement pour être conforme, mais aussi pour inscrire la résilience, la confiance et la continuité opérationnelle au cœur même de leur activité.

En redéfinissant les règles du jeu en matière de cybersécurité et de gestion des risques en Europe, la directive NIS2 vise un objectif clair : relever le niveau d'exigence, combler les lacunes et responsabiliser les instances dirigeantes. Mais son mode d’application décentralisée et son champ d’application étendu rendent toute approche uniformisée obsolète.

Pour les dirigeants d’entreprise et les leaders de la sécurité, le moment d’agir est venu. Les organisations doivent adopter une approche proactive et transversale face à NIS2, fondée sur une gouvernance solide, des mécanismes de reporting clairs et une responsabilité au niveau de l’exécutif.

Pour en savoir plus sur les solutions Tech Risk & Compliance de OneTrust, demandez une démonstration.