Depuis plusieurs semaines (voire, plus informellement, plusieurs mois), le CESIN (Club des Experts de la Sécurité de l’Information et du Numérique), association professionnelle des CISO/RSSI/Directeurs cybersécurité, fulmine. La France n’a toujours pas transposé la directive européenne NIS2 (SRI 2). L’application de NIS2 devrait en effet supposer des décisions précises et des investissements.
Or les budgets ne se décident pas au dernier moment. La stratégie ne se refond pas tous les quatre matins. Le cadre de gouvernance renforcé exigé par NIS2 ne peut pas être défini en quelques jours. Le flou réglementaire est donc très préjudiciable. Dans certains cas, notamment à l’étranger, les entreprises s’alignent spontanément sur le cadre réglementaire le plus restrictif adopté en Europe. Les entreprises attentistes prennent donc un retard considérable sur leurs concurrents. La mise en conformité supposera un travail pluriannuel mais, en attendant le cadre réglementaire précis, de nombreux projets sont mis en pause. Comment appliquer une décision qui n’est pas prise ?
Le 8 juillet 2026, « la Commission européenne a décidé (...) de saisir la Cour de justice de l'Union européenne d’un recours contre l'Irlande, l'Espagne, la France et les Pays-Bas pour défaut de notification des mesures de transposition en droit national de la directive SRI 2 sur la sécurité des réseaux et des systèmes d'information ». La directive aurait en effet dû être transposée avant le 17 octobre 2024. La Commission Européenne avait mis en demeure la France le 28 novembre 2024 et envoyé un dernier avertissement (avis motivés) le 7 mai 2025. Deux ans de retard, un an sans réponse aux avertissements : la France n’est guère exemplaire ! Un dégât à plus long terme est probable : la perte de crédibilité de notre pays en matière de cybersécurité. Alors que le combat autour du SecNumCloud se poursuit, ce n’est sans doute pas très pertinent.