Les pays de l'UE manquent la date limite pour se conformer aux règles de cybersécurité dans les secteurs critiques
Chaque jour de retard « augmente notre vulnérabilité » aux cyberattaques, a déclaré le député européen Bart Groothuis.
BRUXELLES – Deux ans et demi après leur engagement à renforcer les exigences en matière de cybersécurité dans 18 secteurs critiques, de nombreux pays de l’UE n’ont toujours pas transposé les règles dans leur législation nationale, manquant ainsi la date limite fixée pour se conformer à la directive.
Ces règles étaient censées renforcer la sécurité dans des domaines clés tels que les usines pharmaceutiques, les agences administratives gouvernementales et les opérateurs d’infrastructures spatiales.
Mais six mois après l’expiration du délai de transposition de la directive le 17 octobre, 13 pays n’ont toujours pas intégré la directive NIS 2 sur la cybersécurité dans leur législation nationale.
Le non-respect de ce délai souligne un paradoxe au sein de l’UE : bien que les états-membres considèrent la protection de l’économie contre les cybercriminels comme une priorité politique, rares sont ceux qui ont pris des mesures concrètes pour y parvenir.
Plusieurs défis ont entravé ces efforts : l’instabilité politique, la pénurie de compétences et la crainte que les exigences en matière de cybersécurité n’imposent de nouveaux coûts aux entreprises, nuisant ainsi à leur compétitivité.
Seuls sept pays de l’UE ont pleinement adopté la directive, tandis que sept autres l’ont fait partiellement, a déclaré un porte-parole de la Commission à Euractiv. Certains ne l’ont fait qu’après avoir reçu des lettres de mise en demeure de la Commission en novembre, les invitant à agir rapidement.
Il est « incompréhensible et irresponsable » que les États membres soient en retard dans la transposition, a déclaré Bart Groothuis, député européen néerlandais du groupe libéral Renew, ancien rapporteur sur la NIS 2.
Chaque jour de retard « augmente notre vulnérabilité » aux cyberattaques, a-t-il ajouté.
Sebastijan Čutura, responsable de l’Organisation européenne pour la cybersécurité (ECSO), a déclaré à Euractiv qu’il se félicitait des récents développements à Malte et en Finlande, où des lois ont été adoptées, même si les gouvernements n’en ont pas encore officiellement informé la Commission.
Cela signifie que Malte et la Finlande ne sont pas encore comptabilisées par la Commission parmi les pays ayant transposé avec succès la directive dans leur législation nationale.
Sebastijan Čutura a qualifié la lenteur générale de la mise en œuvre de très préoccupante.
Parmi les retardataires figurent l’Allemagne et la France, les pays les plus peuplés de l’UE, où des questions politiques ont retardé l’adoption de la directive.
En France, le projet de loi de transposition n’a été présenté par le gouvernement qu’après les élections législatives anticipées de juin 2024 et est actuellement examiné par l’Assemblée nationale.
En Allemagne, l’effondrement du gouvernement de coalition a suspendu la transposition, qui ne devrait être réintroduite qu’après l’arrivée au pouvoir du prochain gouvernement de coalition, probablement en mai.
