La Commission européenne a ouvert une consultation jusqu’au 25 juillet pour recueillir les avis des acteurs sur un projet de règlement d’exécution et son annexe. Ce projet est important car il précise les dispositions opérationnelles de la directive NIS 2.
Plusieurs instances représentatives françaises ont déjà réagi. La Confédération des Petites et Moyennes Entreprises (CPME) demande – au nom du principe de proportionnalité – à la Commission européenne « d’intégrer davantage de marges de souplesse au profit des petites et moyennes entreprises dans les deux textes soumis à consultation, afin de leur permettre de répondre pleinement aux enjeux soulevés en matière de cybersécurité. Il est à noter que lors d’une cyberattaque, la première pénalisée est l’entreprise elle-même. Il convient donc d’être vigilant à ne pas accroître ses difficultés« , prévient le syndicat.
Par ailleurs, concernant le délai pour considérer un incident, la CPME estime que ce délai est court. « Il peut y avoir une mise à jour ou un problème informatique autre pendant ce laps de temps« . Elle demande ainsi de rallonger ce délai à 30 minutes, sauf période de maintenance.
Du côté d’Hexatrust, qui regroupe et fédère les entreprises françaises et européennes de la cybersécurité, l’association regrette également « l’absence de différenciation entre entités essentielles et importantes dans la définition des exigences techniques et méthodologiques, séparation qui permettrait d’établir des obligations plus précises en fonction de la taille des entités« .
Un autre élément est relevé : « l’établissement de certains critères de qualification d’un incident grave, qui semblent en décalage avec les réalités rencontrées par les entreprises sur le terrain ; le choix actuel d’utiliser l’indisponibilité, plutôt que les accords de niveau de service (SLA), comme critère de définition des incidents significatifs pour différents services. Ces omissions semblent engendrer deux risques principaux : tout d’abord, le risque que les autorités compétentes soient submergées de signalements d’incidents significatifs, rendant difficile l’identification des véritables menaces pesant sur la cyber-résilience de l’économie européenne ; deuxièmement, le risque de mettre sous pression notre réseau de PME, qui pourrait avoir du mal à se conformer à des exigences trop strictes, à un moment où il est essentiel de soutenir le développement du secteur numérique européen. En réponse à ces risques, Hexatrust et ses membres appellent à ce que le principe de proportionnalité, élément clé de la directive NIS 2, soit placé au cœur de la construction de l’acte d’exécution et de son annexe« .
Les structures concernées par NIS2 peuvent répondre jusqu’à demain à la Commission européenne depuis ce lien : https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/14241-Cybersecurity-risk-management-reporting-obligations-for-digital-infrastructure-providers-and-ICT-service-managers_en
