La Cour des comptes allemande dénonce une mise en œuvre insuffisante du NIS-2

La Cour des comptes allemande a demandé des améliorations à la loi de mise en œuvre NIS-2. Selon elle, le gouvernement fédéral met en danger la sécurité de l'information et la cybersécurité en Allemagne.
Catégories :

On ne s'attendait pas forcément à une telle critique : Dans un rapport, la Cour fédérale des comptes a exigé des améliorations de la loi de mise en œuvre NIS-2. Selon elle, le gouvernement fédéral met en danger la sécurité de l'information et la cybersécurité en Allemagne.

"La sécurité de l'information et la cybersécurité de toutes les parties prenantes sont menacées".

Comme le rapporte le Tagesspiegel, le rapport de la Cour fédérale des comptes a été transmis à la commission budgétaire et à la commission des affaires intérieures du Bundestag. Les auditeurs critiquent le fait que le projet de loi élaboré par le ministère fédéral de l'Intérieur et adopté fin juillet par le cabinet fédéral pour la mise en œuvre de la directive sur la sécurité des réseaux et de l'information (NIS-2) reste en deçà des objectifs qu'il s'est lui-même fixés sur des points centraux, même après de multiples concertations entre les différents ministères.

"Des réglementations importantes ne doivent pas être contraignantes de manière uniforme pour l'ensemble de l'administration fédérale. Il en résulterait un 'patchwork' qui pourrait mettre en danger la sécurité de l'information et la cybersécurité de toutes les parties concernées", écrit la Cour des comptes fédérale dans son rapport sur la mise en œuvre de la NIS-2.

Dans son rapport, l'autorité de contrôle suprême allemande demande que le projet de loi soit amélioré au cours de la procédure parlementaire. Il faudrait notamment

  • limiter les exceptions aux exigences centrales en matière de sécurité de l'information et de cybersécurité ; et
  • le coordinateur de la sécurité de l'information devrait se voir confier des tâches et des pouvoirs appropriés.

Les besoins des autorités fédérales en matière de ressources budgétaires supplémentaires doivent également être examinés de manière critique.

Conseil de lecture : Directive NIS 2 - ces entreprises sont concernées

La loi de transposition NIS-2 arrive en retard

Au plus tard le 18 octobre 2024, la directive NIS-2 devrait normalement être transposée dans les législations nationales des États membres. Les obligations de mise en œuvre de mesures de cybersécurité et de notification des cyberattaques seront alors étendues à beaucoup plus d'entreprises dans différents secteurs. Rien qu'en Allemagne, le ministère fédéral de l'Intérieur, en charge du dossier, estime qu'environ 29 500 entreprises supplémentaires seront tenues de mettre en œuvre des mesures de cybersécurité. Jusqu'à présent, les mesures étaient limitées aux exploitants d'infrastructures critiques, aux fournisseurs de services numériques et aux entreprises d'intérêt public particulier.

Il est d'ores et déjà certain que la loi NIS-2 entrera en vigueur en Allemagne avec du retard. Le Bundesrat se penchera sur le projet de loi le 27 septembre. Il n'est certes pas tenu d'approuver la loi, mais selon le Tagesspiegel, il a déjà fait part de ses souhaits de modification. Le Bundestag pourrait alors se pencher sur la loi de mise en œuvre du NIS-2 au plus tôt la deuxième semaine d'octobre. Les points critiques ont été plus que clairement mis en évidence par la Cour des comptes fédérale.

Source : Projet de loi de mise en œuvre de la NIS 2 et de renforcement de la cybersécurité

Les tags :
Partager ce post :
fr_FRFrench