Oui, les États membres peuvent décider de mettre en place des règles nationales plus strictes pour mieux protéger leur cybersécurité, mais seulement à condition que ces règles respectent et ne contredisent pas les obligations de l’Union européenne fixées par la directive NIS2 et par les autres règles du droit européen en vigueur.

L’harmonisation minimale veut dire que la directive NIS2 établit un niveau minimal obligatoire de cybersécurité commun pour tous les États européens, mais chaque pays peut, s’il le souhaite, adopter des mesures supplémentaires plus strictes de cybersécurité, tant que ces mesures restent conformes aux exigences imposées par l’Union européenne et ne les contredisent pas.

Pour garantir la compatibilité des mesures nationales avec la directive NIS2, les États membres doivent soigneusement vérifier que leurs règles n’entrent pas en conflit avec les obligations européennes existantes, et s’assurer que celles-ci se complètent et se renforcent mutuellement, sans bloquer ou réduire l’efficacité des règles de l’Union européenne déjà établies.

L’Union européenne opte pour une harmonisation minimale afin de permettre une certaine flexibilité aux différents États et ainsi leur laisser la possibilité de répondre plus efficacement aux besoins spécifiques liés à la cybersécurité propres à leur territoire national, tout en maintenant toutefois une base commune obligatoire de protection minimale applicable dans tous les pays membres de l’Union.