La directive UE n° 2022/2555, publiée le 14 décembre 2022 (NIS 2), marque une étape importante dans le renforcement de la cybersécurité au sein de l’Union européenne. Ce texte repose sur les fondements établis par la directive NIS 1 de 2016 mais ambitionne d’élargir le nombre d’entités concernées, de renforcer les exigences de sécurité et de gestion des risques et d’assurer une meilleure coopération entre les Etats membres de l’UE. En France, la transposition de cette directive qui devait intervenir au plus tard le 17 octobre 2024 a pris du retard, le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité (Résilience), déposé au Sénat le 15 octobre 2024, est toujours en cours d’examen.

Le projet de loi Résilience est ambitieux puisqu’il transpose, en sus de NIS 2, deux autres directives européennes : la directive dite « REC » du 14 décembre 2022 sur la résilience des entités critiques et la directive du 14 décembre 2022 relative à la résilience numérique dans le secteur financier.

C’est le titre II du projet de loi qui est consacré à la transposition de NIS 2 et qui reprend, à travers cinq chapitres, les objectifs de la directive européenne :

– élargir le champ d’application de NIS 1 : en intégrant davantage de secteurs et d’organisations ;

– renforcer la cybersécurité : en imposant des exigences plus strictes en matière de sécurité des réseaux et des systèmes d’information ;

– améliorer la coopération : en prévoyant, entre les Etats membres, des mécanismes de coordination plus efficaces en cas d’incident de cybersécurité.