Le chantier NIS 2 avance en Europe mais piétine un peu en France

Article rédigé le 09 juin 2025 par Me Laurence Huin

L’agence de l’Union européenne pour la cybersécurité (« ENISA » pour European Union Agency for Cybersecurity) nous apprend dans un communiqué de presse publié sur son site internet le 13 mai 2025 que la base de données européenne des vulnérabilités a été mise en ligne et est désormais opérationnelle.

Cette base de données européenne, appelée « European Vulnerability Database – EUVD » prévue par l’article 12.2 de la directive européenne NIS 2 a pour objectif de permettre aux entités, indépendamment du fait qu’elles relèvent ou non du champ d’application de NIS 2, et à leurs fournisseurs de réseaux et de systèmes d’information, de divulguer et d’enregistrer, « à titre volontaire, les vulnérabilités publiquement connues présentes dans les produits TIC ou les services TIC ». Les informations relatives aux vulnérabilités contenues dans la base EUVD sont librement accessiblesen ligne.

Cette base de données comprend :

• Des informations décrivant la vulnérabilité ;
• Les produits TIC ou les services TIC affectés ainsi que la gravité de la vulnérabilité rapportée aux circonstances dans lesquelles elle peut être exploitée
• La disponibilité des correctifs correspondants et, en l’absence de correctifs disponibles, des orientations fournies par les autorités compétentes ou les CSIRT (« Computer Security Incident Response Team »), adressées aux utilisateurs des produits TIC et des services TIC vulnérables, sur la manière dont les risques résultant des vulnérabilités divulguées peuvent être atténués.

Pour rappel, les CSIRT sont des centres de réponse aux incidents cyber qui ont notamment pour objet d’assister et d’accompagner les acteurs impactés par un incident cyber. En France le CSIRT national est l’Agence Nationale de la sécurité des système d’information (« Anssi »), qui a organisé un réseau régional de CSIRT territoriaux sur le territoire français afin de permettre une réponse de proximité.

Aux termes du considérant 63 de la directive NIS 2, bien que des registres ou des bases de données similaires sur les vulnérabilités existent, ces dernières ne sont pas nécessairement hébergées et gérées par des entités établies dans l’Union européenne (UE).

Dès lors, l’objectif derrière le déploiement de la base EUVD est de centraliser au niveau européen les informations relatives aux vulnérabilités connues et ainsi permettre leur diffusion auprès des CSIRTs des Etats membres, organisés dans un réseau européen auquel la Commission européenne et l’ENISA participent.

À noter que dans le cadre du règlement européen Cyber Resilience Act (« CRA »), une plateforme de signalement unique est également prévue pour les fabricants « […] de produits comportant des éléments numériques ou qui fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit » (article 3.13 du règlement CRA), qui doivent obligatoirement notifier tout incident grave ayant des répercussions sur la sécurité de leur produit (article 14.3 Règlement CRA).

Or, l’ENISA nous apprend que la plateforme de signalement unique est différente de la base EUVD, et que la notification des vulnérabilités activement exploitées deviendra obligatoire pour les fabricants d’ici septembre 2026, qui devront donc dans cette hypothèse procéder à une double notification.

Pour ce qui est de la suite, l’ENISA précise que cette année 2025 sera dédiée au développement de la base EUVD et de ses services connexes.

Pendant ce temps en France, l’adoption du projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité qui a vocation notamment à transposer la directive NIS 2 dans le droit français est en encore en examen devant l’Assemblée Nationale depuis le 13 mars 2025.

Après une adoption en première lecture au Sénat le 15 octobre 2024, la navette parlementaire semble au point mort dans l’adoption de ce projet de loi, mais la consultation de l’agenda de l’Assemblée Nationale nous apprend que la Commission spéciale chargée d’examiner le projet de loi, présidé par Monsieur Philippe Latombe, organise depuis le mois d’avril 2025 plusieurs tables rondes faisant intervenir divers acteurs, notamment le directeur de l’Anssi le 7 mai dernier, ou encore le secrétaire général de la défense et de la sécurité nationale le 13 mai dernier.

La consultation des comptes-rendus de ces tables rondes indique que l’examen du texte, initialement prévu en séance publique à la mi-juin 2025 a été reporté, et qu’aucune date officielle n’a été depuis communiqué, bien que la perspective d’une séance au mois de juillet ou de septembre prochain soit évoquée. Affaire à suivre.