NIS 2 : La France et 22 autres États membres mis en demeure par la Commission européenne

Le 28 novembre 2024, la Commission européenne a officiellement mis en demeure 23 États membres, dont la France, pour leur retard dans la transposition de la directive NIS 2 dans leur droit national. Les États membres avaient jusqu'au 17 octobre 2024 pour la transposer.

À ce jour, seuls la Belgique et l’Italie ont finalisé leur transposition dans les délais impartis. La Croatie, la Lettonie et la Lituanie ont entamé des transpositions partielles, tandis que la majorité des États membres, y compris la France, accusent un retard significatif.

La mise en demeure constitue le premier stade de la procédure d’infraction. Les États membres concernés disposent désormais de deux mois pour répondre à la Commission et finaliser leurs processus de transposition. Cependant, si la situation n’était pas corrigée à l'issue de ce délai, la Commission pourrait émettre un avis motivé, suivi, en cas de non-conformité persistante, d’une saisine de la Cour de justice de l’Union européenne (CJUE). Cette dernière pourrait alors imposer des amendes pour forcer l’État membre à respecter ses obligations européennes.

Pour sa part, la Commission européenne, avait respecté l’échéance du 17 octobre 2024 pour préciser les exigences de cybersécurité applicables aux fournisseurs de services numériques au titre de la directive NIS 2.

Pour rappel, contrairement aux autres entités essentielles ou importantes, les entités du numérique – comme les réseaux sociaux, les places de marché en ligne ou encore les fournisseurs de services cloud (SaaS, PaaS, IaaS) – sont soumis à des exigences techniques et méthodologiques spécifiques, définies directement par la Commission européenne. 

Pour comprendre les impacts pratiques de cet acte d’exécution publié le 17 octobre 2024 pour les entités du numérique et les actions à mettre en œuvre, consultez notre article dédié.

Quid de la France ?

En France, la transposition de la directive NIS 2 a pris du retard.

Un projet de loi résilience a été présenté en Conseil des ministres le 15 octobre 2024 et vise à intégrer les dispositions de NIS 2 dans le droit français, ainsi que deux autres textes européens majeurs :

• la directive "REC" du 14 décembre 2022 sur la résilience des entités critiques (Resilience of Critical Entities), qui a pour objet d'améliorer la fourniture, au sein de l'Europe, de services essentiels au maintien de fonctions sociétales ou d'activités économiques vitales (énergie, transports, secteur bancaire, santé, eau, denrées alimentaires, infrastructures numériques, administration publique, espace…) ;.
• La directive liée au règlement DORA (Digital Operational Resilience Act), qui permet d'harmoniser le cadre de prévention, de détection et de compte rendu des incidents applicable aux entités financières.

Selon le Sénat, l’examen parlementaire n’est pas attendu avant mi-février 2025, ce qui expose la France à des critiques et à de possibles sanctions européennes.

Que faire dès aujourd’hui ?

Ne vous laissez pas surprendre par la transposition prochaine !

• Identifier si votre entité est concernée : Vérifiez si votre organisation est classée comme entité essentielle ou importante, ou si elle fait partie de leurs chaînes d'approvisionnement en tant que fournisseur ou sous-traitant. 
• Réaliser un audit de conformité : Analysez vos pratiques actuelles de cybersécurité pour identifier les écarts avec les exigences (connues ou prévisibles) de la directive.
• Élaborer une feuille de route : Mettez en place un plan d’action pour aligner vos pratiques avec les nouvelles obligations, notamment en matière de gestion des risques cyber et de notification des incidents.

Pour en savoir plus, vous pouvez également consulter notre FAQ complète sur NIS 2. 

Besoin d’assistance ?

Notre cabinet d’avocats peut vous accompagner dans vos démarches de mise en conformité, à commencer par l’identification de votre statut au regard de la directive NIS 2. Que vous soyez une entité essentielle, une entité importante, ou un fournisseur de ces entités, nous vous aidons à comprendre vos obligations et à élaborer un plan de conformité adapté.

Contactez-nous dès aujourd’hui pour bénéficier de notre expertise.

À propos de l'auteur

Jocelyn Pitet est avocat au barreau de Paris et cofondateur d’Entropy, un cabinet d'avocats dédié aux nouvelles technologies. Sa pratique se concentre sur des domaines tels que la cybersécurité, la protection des données personnelles, les contrats informatiques, la blockchain, l'intelligence artificielle et d'autres technologies de rupture. Depuis plus de dix ans, Jocelyn accompagne les startups innovantes, les entreprises technologiques de pointe ainsi que les grandes groupes internationaux dans la gestion des défis juridiques complexes liés au numérique et à l'innovation. 

En parallèle de son activité au cabinet, Jocelyn Pitet assure des fonctions d'enseignement à l'Université Paris Panthéon-Assas et à l'Institut Léonard de Vinci. Il y dispense des cours sur le droit de la blockchain, le droit des données à caractère personnel et le droit de la cybersécurité.