Transposition(s) nationale(s) de NIS2 dans l’UE : quelle pagaille !

Casse-tête assuré ! PME, ETI ou multinationales… Les entreprises opérant dans plusieurs pays de l’UE doivent se préparer à se conformer à plusieurs versions nationales de NIS2, qui peuvent présenter d’importants écarts de mise en œuvre. « C’est une directive et elle laisse donc une grande marge de manœuvre aux États, souligne Sébastien Garnault, fondateur de la CyberTaskForce, un groupe de travail réunissant des parlementaires, des hauts fonctionnaires et des PME. Entre la loi belge, finlandaise, italienne et la loi française en préparation (toujours en navette entre le Sénat et l’Assemblée, ndlr), il y a déjà des différences d’approche en fonction de la culture et de l’organisation politique des pays. » Elles concernent notamment les périmètres d’application, les modalités de déclaration d’incidents ou encore les régimes de sanctions. Avec NIS1, les grands groupes mondiaux ont toutefois pris l’habitude de s’adapter à ces différents contextes législatifs. 

Réticences à investir

À titre de comparaison, aux États-Unis, qu’elles soient locales ou étrangères, les entreprises doivent composer avec 51 législations, celles de chaque État mais aussi la loi fédérale américaine, avec à la clé d’énormes différences par exemple entre la Californie, démocrate, et le Texas, ultra-conservateur. « On est finalement plus avancé en Europe, constate M. Garnault, lui-même auditionné par le Sénat sur NIS2, notre marché s’unifie et on a de grandes règles qui sont les mêmes partout, notamment pour tous les OIV (opérateur d’importance vitale). Les grands groupes vont avoir à gérer des approches différentes, mais d’un même objet vu de la même manière par tous. Le problème, c’est leurs réticences à investir. Tout le monde est exsangue ! » 

Angle mort

La question de la chaîne des sous-traitants de ces multinationales et de leur montée en compétence est aussi cruciale mais c’est un angle mort, regrette M. Garnault : « Prenez par exemple une PME qui fabrique un boulon spécifique pour les sous-marins nucléaires. Même si cela ne représente que 5 % de son activité, elle relève de NIS2. Comme elle ne le sait peut-être pas et qu’elle n’a pas les moyens de se mettre en conformité, elle continuera peut-être à produire des boulons pour les lave-linges mais plus pour les sous-marins. » Les grands groupes pourront sans doute aider leurs partenaires ultra-stratégiques mais ils ne pourront pas financer la mise à niveau de toute leur sous-traitance. 

Un référentiel unique à EDF

Pour la plupart des groupes internationaux, l’affaire semble en revanche entendue. EDF opère par exemple en France, mais aussi en Belgique et en Italie via ses filiales. L’énergéticien a mis en place une politique qui fera référence pour toutes les entités industrielles du groupe à partir de l’an prochain. « Ce protocole est pleinement aligné avec NIS2, le Cyber Resilience Act adopté en octobre dernier par le Conseil de l’UE, la LPM (loi de programmation militaire) et les exigences sectorielles du nucléaire et de l’énergie, assure Jean-Marc Autret, responsable de la cybersécurité des systèmes industriels (RSSI OT) au sein d’EDF. Autrement dit, un site de production ou de distribution d’électricité conforme à cette politique l’est par construction vis-à-vis de NIS2, quelle que soit la version nationale transposée ». Ce protocole s’accompagne d’une matrice de conformité réglementaire, qui cartographie les exigences de la future directive et des textes nationaux. Elle est utilisée pour piloter les écarts et prioriser les actions dans chaque entité.                                                                                                  

Des processus différenciés

De nombreuses interrogations subsistent toutefois. À qui, par exemple, un grand groupe mondial avec différentes implantations en Europe doit-il déclarer un incident ? À l’autorité nationale du pays où a été constaté le problème, à celui où se trouve son siège social ou bien aux deux ? « En France, l’ANSSI impose une obligation de notification d’incident dans les 72 heures, avec un formalisme spécifique, détaille M. Autret. En Belgique, d’autres critères de gravité ou de seuil s’appliquent selon les régulateurs. Cela implique un suivi constant des législations locales, des audits multinormes et parfois des redondances dans les exigences. Cela complexifie la gouvernance cyber et nécessite une forte coordination entre entités ». Cela impose aussi des exigences supplémentaires sur la sécurité des échanges transfrontaliers. Car, même si EDF n’est pas gestionnaire de réseau, sa production impacte la stabilité de l’ensemble du système électrique européen. 

Difficulté de niveaux

« La vraie question aujourd’hui en France est de savoir si on adopte une norme internationale de type ISO, s’interroge Philippe Latombe, député MoDem de Vendée, président de la commission spéciale de l’Assemblée en charge du projet de loi Résilience. La Belgique est par exemple le seul pays à avoir retenu l’ISO 27001 comme socle minimal, mais uniquement pour les petites entreprises les moins exposées au risque cyber. Les autres pays ne sont pas dans cette logique-là pour l’instant. On a une vraie difficulté de niveaux. » Problème juridique, ISO n’étant pas une norme européenne, le sujet pose la question de la souveraineté normative. Autre inconvénient, cette certification est moins-disante que SecNumCloud, le visa de sécurité de l’ANSSI, et surtout ne porte pas sur le même périmètre. M. Latombe reconnaît par ailleurs des divergences de vue avec certains pays d’Europe de l’Est comme la Hongrie, avec son fort tropisme vis-à-vis de la Chine, mais où peu d’entreprises transfrontalières sont installées.                                                                            

Gendarme en béquilles

Reste que la Commission européenne a pris des actes d’exécution (« implementation acts ») pour guider les États membres dans une mise en œuvre la plus harmonisée possible de NIS2. « La difficulté est qu’il y a deux calendriers, poursuit M. Garnault, celui des entreprises et celui des États. Vu l’effervescence démocratique (84 élections dans le monde en 2024), sur 27 États, 23 sont en retard ! Ils seront condamnés, et alors ? » En France, la directive devrait être adoptée en juillet ou en septembre prochain. Mais pour entrer en vigueur, il faudra encore patienter deux ou trois ans pour que les décrets sortent. Où en sera la cybermenace à ce moment-là ? NIS2 ne sera-t-elle pas tout bonnement obsolète ? « Le temps du numérique, c’est la seconde, rappelle M. Garnault, et celui de la cybersécurité, c’est la nanoseconde. On joue au gendarme et au voleur, mais ici, le gendarme est en béquilles ! » Afin d’éviter cet écueil à l’avenir, beaucoup parient d’ailleurs que NIS3 sera un règlement, applicable totalement et directement, à la différence d’une directive qui ne fixe que des objectifs et un délai.