Selon Benoît Tremolet, General Manager France, et Florian Korhammer, CISO, de Retarus, la transposition de la directive Network and Information Security 2 (NIS 2) dans le droit français pourrait se heurter, comme en Allemagne, au conflit entre deux dimensions temporelles aux priorités éloignées, celle politique et celle cyber, sans réussir à guider efficacement les entreprises. Ils expliquent leur point de vue à nos lecteurs.

Tandis que la transposition de la directive européenne NIS 2, relative à la sécurité des réseaux et des systèmes d’information est débattue au Parlement (le débat a commencé au Sénat le 11 mars), le précédent de sa transposition avortée en Allemagne en janvier illustre parfaitement la dichotomie entre les lenteurs de la politique face à la rapide évolution de la menace cybernétique. Faute d’accord sur les points essentiels entre le SPD, les Verts et le FPD, la directive n’est toujours pas transposée à échelle nationale, plus de deux ans après son adoption dans l’Union européenne. Le nouveau gouvernement devra faire une nouvelle tentative.

Berlin n’est pas le seul gouvernement à faire face à un échec. Aucun des 27 États membres n’a été en mesure d’appliquer pleinement la nouvelle directive, bien que certains pays aient atteint un niveau de maturité supérieur à d’autres.

Ainsi, les entreprises concernées devront se conformer à de nouveaux standards non mieux définis par la réglementation nationale. Ce qu’elles ne sont sans ignorer est que ces standards impliqueront une évaluation de la sécurité de leurs réseaux afin d’identifier les failles, de mettre en place des mesures de protection pour renforcer leurs réseaux, de signaler les incidents de sécurité afin d’isoler de potentielles menaces et de coopérer avec les autorités compétentes.