Comment pouvons-nous éviter la fragmentation du marché européen lors de la mise en œuvre de NIS 2 ?
La fragmentation peut être atténuée, d'abord par une coordination européenne. Le Groupe de coopération NIS, où les États membres siègent aux côtés de l'ENISA et de la Commission, est l'instance formelle permettant d'aligner les interprétations, de partager les pratiques et de converger vers des guides réutilisables (modèles, taxonomies, formats de reporting).
Ensuite, en encourageant une convergence ascendante là où la volonté politique existe. Par exemple, la reconnaissance mutuelle des référentiels de contrôle et d'assurance (comme CyFun, utilisé par la Belgique et adopté par la Roumanie et l'Irlande) réduit les doublons pour les opérateurs transfrontaliers.
À ce stade, l'objectif réaliste est d'établir des bases communes entre superviseurs et acteurs de l'industrie, réutilisables d'un État membre à l'autre, plutôt que de viser une harmonisation maximale. Il convient toutefois de souligner certains amendements à NIS 2, récemment proposés dans le cadre de la révision du Cybersecurity Act, notamment le Cyber Posture Scheme. Celui-ci fournirait une base de référence au niveau européen, fondée sur les risques, que les organisations pourraient démontrer de manière comparable d'un État membre à l'autre. En alignant les résultats attendus et les critères de mesure, il contribuerait à réduire les audits redondants et les frictions pour les opérateurs transfrontaliers.
La directive NIS 2 doit-elle être perçue comme une simple contrainte réglementaire, ou comme un levier stratégique de souveraineté pour propulser des champions cyber européens ?
Aucune des deux lectures n'est tout à fait juste. NIS 2 est avant tout une politique de sécurité. Elle vise à élever le niveau de résilience de l'ensemble des entités essentielles et importantes, parce que les risques sont élevés et la maturité inégale selon les secteurs et les pays. Les entreprises concernées pourront stimuler la demande en produits et services de cybersécurité, mais NIS 2 n'est pas une politique industrielle et ne doit pas faire perdre de vue l'objectif central de la directive.
Sur la question des charges réglementaires, les préoccupations sont légitimes. Elles sont également amplifiées par les divergences de transposition nationale, comme nous avons tenté de le démontrer via le NIS2 Directive Transposition Tracker de l'ECSO. Simplification et harmonisation sont des priorités européennes au plus haut niveau, comme le souligne le rapport Draghi et de nombreux dirigeants depuis lors. Nos travaux ont identifié quatre domaines principaux à traiter : la notification d'incidents, les référentiels de gestion des risques, la chaîne d'approvisionnement, ainsi que les évaluations et audits.
NIS 2 peut-elle vraiment transformer la culture cyber au sein des entreprises européennes en tenant les dirigeants directement et personnellement responsables ?
Il n'existe pas de preuve unique que la responsabilité personnelle des dirigeants "transforme automatiquement la culture" mais l'expérience d'autres régimes réglementaires montre qu'elle peut modifier les comportements et la gouvernance, notamment lorsque l'application est crédible et les attentes claires. C'est une très bonne question, appliquée à NIS 2 et à l'écosystème législatif cyber au sens large, pour laquelle nous aurons besoin de davantage de preuves à l'avenir.
Selon vous, quels sont les aspects les plus critiques de NIS 2 sur lesquels les RSSI doivent concentrer leur attention ?
Les RSSI ont tendance à lire NIS 2 à travers deux prismes simultanément : la sécurité opérationnelle d'un côté, la conformité de l'autre. Le point de départ est de confirmer ce qui est réellement dans le périmètre dans chaque pays d'activité, les transpositions nationales divergeant suffisamment pour changer la réponse. Il convient de prêter attention aux différences sectorielles, aux seuils appliqués, mais aussi à la façon dont les entités et leurs services sont classifiés et exclus du périmètre dans certains cas.
Ensuite, la gouvernance passe en premier, car l'article 20 place les organes de direction en première ligne pour approuver les mesures de gestion des risques cyber et suivre des formations dédiées. Des rôles clairs, des droits de décision définis et un reporting régulier au niveau du conseil d'administration sont indispensables. La notification d'incidents est le prochain point de pression. Pour respecter les délais, alerte précoce sous 24 heures, notification sous 72 heures, rapport final dans le mois, les organisations doivent définir leurs critères de classification et leurs chaînes d'escalade, et collecter les preuves bien en amont.
Enfin, la gestion des risques liés à la chaîne d'approvisionnement au titre de l'article 21 est la plus complexe, en raison du nombre de fournisseurs tiers et de la complexité de la gestion de la sécurité de la chaîne d'approvisionnement, pour laquelle les directives restent encore limitées.
Dans l'ensemble, l'essentiel est de maintenir des fondamentaux solides, en cohérence avec les référentiels internationaux existants et les cadres nationaux applicables.
A propos de Cristian Michael Tracci
Cristian Michael Tracci est Strategy Officer à l'ECSO (European Cyber Security Organisation) et co-fondateur de Cyber Strategy Initiative. Titulaire d'un Master of International Affairs en sécurité internationale de Columbia University (SIPA), il ancre son approche de la cybersécurité dans une perspective géopolitique et stratégique.
