La Commission européenne doit réexaminer la directive NIS2 au plus tard le 17 octobre 2027, puis elle doit le faire régulièrement tous les 36 mois. Cela signifie qu’environ tous les trois ans, la Commission vérifie si les règles fonctionnent bien, adaptées aux tailles des entreprises concernées, en tenant compte des changements dans les secteurs économiques et de l’évolution des menaces en matière de cybersécurité.
Le rapport examine principalement si les critères utilisés pour déterminer quelles entreprises doivent respecter les obligations NIS2 sont encore appropriés. Il vérifie ainsi si la taille des entités concernées et les secteurs économiques couverts par ces règles restent pertinents afin d’assurer une bonne cybersécurité, essentielle au bon fonctionnement de notre société et économie quotidienne.
Deux groupes contribuent principalement au réexamen : le groupe de coopération et le réseau des CSIRT. Ces deux instances partagent leurs expériences et constats, permettant à la Commission d’avoir des informations précieuses venant directement du terrain sur le fonctionnement pratique des règles en matière de cybersécurité, afin d’améliorer la coopération stratégique et opérationnelle entre les pays concernés.
Si après avoir étudié comment les règles fonctionnent dans la réalité, la Commission conclut que des changements ou améliorations sont nécessaires, elle pourra présenter une proposition législative. Cela veut dire qu’elle proposera officiellement de modifier ou d’ajouter des règles nouvelles pour mieux protéger les entreprises et les citoyens face aux risques informatiques et aux cyberattaques potentielles.
