La Commission européenne évalue les réponses aux procédures d’infraction qu’il a commencé en novembre.
Seuls sept des 27 pays de l’UE ont entièrement transposé les règles de cybersécurité pour les entités critiques, des mois après une date limite d’octobre, a déclaré jeudi un porte-parole de la Commission européenne.
Le porte-parole a déclaré à L’Observatoire de l’Europe que la Belgique, l’Italie, la Croatie, la Roumanie, la Slovaquie, la Lituanie et la Grèce ont mis en place les règles nationales, tandis que six autres – Lettonie, l’Allemagne, la Tchéie, l’Autriche, le Danemark et la Pologne – ont en partie introduit les règles.
En octobre, seule la Belgique et la Croatie étaient prêtes à appliquer la directive 2 (NIS2) du réseau et de la sécurité de l’information (NIS2), qui a été approuvée en 2022 dans le but de protéger les entités critiques, telles que l’énergie, le transport, la banque, les infrastructures numériques et numériques, contre Cyber-incidents majeurs.
Lors d’un débat au Parlement européen à Strasbourg jeudi, le commissaire européen Glenn Micallef – qui est en charge de l’équité intergénérationnelle, de la jeunesse, de la culture et du sport – a appelé les États membres de toute urgence à mettre en œuvre NIS2 afin d’améliorer la préparation et la résilience de l’UE pendant les crises hybrides – comme les attaques récentes contre les câbles sous-assemblés en mer Baltique.
Il a déclaré que la transposition et la mise en œuvre de la directive NIS2 sont «encore lentes», tout comme celle de la directive de résilience des entités critiques, réalisée pour protéger le fonctionnement de services essentiels tels que l’énergie et les transports. « Nous continuons à soutenir les États membres et les appelle à transposer les deux directives dès que possible », a-t-il ajouté.
Procédure d’infraction
La Commission a envoyé des lettres d’avis officielles en novembre, qui est la première étape d’une procédure d’infraction. Les pays avaient jusqu’à fin janvier pour répondre, l’exécutif de l’UE est maintenant en train de revoir les réponses et pourrait décider de prendre d’autres mesures.
Le gouvernement des Pays-Bas, l’un des pays qui n’a pas respecté la date limite, a déclaré dans une lettre au Parlement plus tôt cette semaine que les règles devraient entrer en vigueur au troisième trimestre de 2025.
La Commission a proposé NIS2, une refonte de NIS1, dans le but de suivre une numérisation accrue et un paysage de menace de cybersécurité en évolution. Les entreprises doivent émettre un avertissement dans les 24 heures et publier un rapport d’incident dans les 72 heures en cas d’incidents qui provoquent de graves interruptions opérationnelles.
En cas de non-conformité, les entreprises risquent d’amendes jusqu’à 10 millions d’euros, soit 2% des revenus mondiaux, la plus élevée.
