Réponse GRC
Pourquoi NIS2 varie-t-il selon les pays ?
Réponse directe
NIS2 est une directive, et non un règlement, ce qui signifie qu’elle ne s’applique pas directement. Chaque État membre de l’UE doit la transposer en droit national, et c’est ce droit national que vous respectez réellement. Le délai de transposition était fixé au 17 octobre 2024, mais les États membres ont transposé à des rythmes et avec des spécificités différents. En France, la transposition s’est opérée via la loi de programmation militaire (LPM) et la loi organique relative à la LPM (LOPMI), avec l’ANSSI comme autorité nationale de cybersécurité. Pour une organisation multi-pays, cette variation nationale est la caractéristique pratique déterminante de NIS2. C’est la différence de nature la plus marquante entre NIS2 et DORA. DORA, en tant que règlement, est uniforme dans toute l’UE et supervisé par l’AMF et l’ACPR pour les entités financières françaises. NIS2, en tant que directive, constitue un socle commun que chaque pays met en œuvre dans sa propre législation. Une directive fixe les objectifs que chaque État membre doit atteindre, mais laisse la forme et les modalités aux gouvernements nationaux. Deux organisations du même secteur dans des États membres différents peuvent faire face à des variations en matière d’enregistrement, de modalités de signalement et d’approche de supervision. Pour une organisation mono-pays en France : identifiez la loi de transposition nationale et l’ANSSI comme autorité compétente, et conformez-vous à ce droit. Pour une organisation multi-pays : cartographiez le socle commun NIS2 une fois, puis suivez les écarts nationaux par État membre.
Questions connexes