Examens par les pairs sous NIS2 : comment les États membres seront évalués

Comprenez le processus d'examen par les pairs de l'article 19 de NIS2. Découvrez comment les États membres évaluent mutuellement leurs capacités de cybersécurité et la mise en œuvre de NIS2.

Daniel Grigorovich
Daniel Grigorovich
Fondateur · 10 Jun 2026 · 11 min de lecture
NIS2
Examens par les pairs sous NIS2 : comment les États membres seront évalués

Qui devrait lire ceci : décideurs politiques, direction des autorités compétentes, responsables nationaux de la cybersécurité, directeurs de CSIRT, représentants institutionnels de l’UE.

Le mécanisme d’examen par les pairs établi à l’article 19 de la directive NIS2 représente une innovation significative dans la gouvernance de la cybersécurité de l’UE. Plutôt que de s’appuyer uniquement sur la supervision de la Commission ou sur l’auto-évaluation nationale, les États membres mèneront des examens par les pairs systématiques des capacités de cybersécurité de chacun et de la mise en œuvre des obligations NIS2. Il ne s’agit pas d’un mécanisme d’exécution punitif ; il s’agit d’un processus collaboratif, de renforcement de la confiance, conçu pour renforcer le niveau global de cybersécurité dans toute l’Union en permettant aux États membres d’apprendre les uns des autres et d’identifier les domaines d’amélioration.

Pour les États membres, les examens par les pairs créent à la fois une opportunité et une obligation. Une opportunité de mettre en valeur vos réalisations en cybersécurité, d’apprendre des bonnes pratiques d’autres États membres et d’obtenir une validation externe de vos capacités. Une obligation de se soumettre à un examen, de fournir des informations sensibles à des évaluateurs externes et de répondre aux recommandations issues des examens. Comprendre le cadre d’examen par les pairs (ce qu’il couvre, comment il fonctionne, ce qu’il advient des résultats) est essentiel pour la direction nationale de la cybersécurité qui se prépare à conduire ou à subir un examen par les pairs.

Portée et couverture des examens par les pairs

L’article 19(1) établit que le Groupe de coopération, avec l’assistance de la Commission et de l’ENISA et en coopération avec le réseau CSIRT, établira la méthodologie et les aspects organisationnels des examens par les pairs d’ici le 17 janvier 2025. Cette méthodologie régira la manière dont les examens par les pairs sont menés, quelles preuves sont évaluées et comment les conclusions sont appréciées. Le Groupe de coopération est chargé d’établir des critères objectifs, non discriminatoires, équitables et transparents sur la base desquels les États membres désignent des experts en cybersécurité pour mener les examens par les pairs.

L’article 19(1) précise que les examens par les pairs peuvent couvrir au moins l’un de six domaines. Ce ne sont pas les seuls domaines possibles, mais ils représentent la portée centrale des examens par les pairs.

Premièrement, les examens par les pairs peuvent évaluer le niveau de mise en œuvre des mesures de gestion des risques de cybersécurité et des obligations de notification prévues aux articles 21 et 23. Cela signifie évaluer si les entités essentielles et importantes au sein d’un État membre mettent effectivement en œuvre les mesures obligatoires de cybersécurité et si elles notifient correctement les incidents significatifs au CSIRT national. C’est probablement le focus le plus courant des examens par les pairs car les articles 21 et 23 sont au cœur de la mise en œuvre de NIS2.

Deuxièmement, les examens par les pairs peuvent évaluer le niveau des capacités et l’efficacité des autorités compétentes. Cela inclut d’évaluer si l’autorité compétente dispose de ressources financières adéquates, d’une expertise technique adéquate, d’un personnel adéquat et d’une autorité adéquate pour superviser les entités essentielles et importantes. Cela inclut également d’apprécier si l’autorité compétente exerce effectivement ses pouvoirs de supervision et d’exécution.

Troisièmement, les examens par les pairs peuvent évaluer les capacités opérationnelles du CSIRT national. Le CSIRT a-t-il une disponibilité 24/7 ? Peut-il coordonner efficacement avec les entités essentielles et importantes ? Dispose-t-il d’une expertise adéquate dans le traitement des incidents ? Peut-il coopérer efficacement avec d’autres CSIRT et avec EU-CyCLONe ?

Quatrièmement, les examens par les pairs peuvent évaluer le niveau de mise en œuvre de l’assistance mutuelle. L’article 37 exige que les États membres s’entraident dans la gestion des incidents ayant un impact transfrontalier. Un examen par les pairs pourrait évaluer si l’État membre dispose de mécanismes pour fournir et recevoir une assistance mutuelle, et s’il a effectivement fourni une assistance lors d’incidents récents.

Cinquièmement, les examens par les pairs peuvent évaluer le niveau de mise en œuvre des arrangements de partage d’information sur la cybersécurité. L’article 29 exige que les États membres facilitent le partage d’information entre entités concernant les cybermenaces et les vulnérabilités. Un examen par les pairs pourrait évaluer si des arrangements de partage d’information efficaces ont été établis et si les entités y participent activement.

Sixièmement, les examens par les pairs peuvent évaluer des questions spécifiques de nature transfrontalière ou intersectorielle. Les États membres peuvent identifier des préoccupations particulières ou des domaines d’intérêt et demander qu’ils soient inclus dans la portée de l’examen.

Le processus d’examen par les pairs

L’article 19 établit un processus structuré pour la conduite des examens par les pairs. Le processus commence par le développement de la méthodologie. Le Groupe de coopération, avec l’assistance de la Commission et de l’ENISA, établit la méthodologie d’examen par les pairs d’ici le 17 janvier 2025. Cette méthodologie comprend les critères et procédures de sélection des experts en cybersécurité, le processus de collecte de preuves, le cadre d’évaluation et le format de rapport pour les conclusions de l’examen par les pairs.

Une fois la méthodologie établie, les États membres peuvent demander des examens par les pairs. Un État membre demandant un examen par les pairs doit notifier aux autres États membres participants la portée de l’examen, y compris toute question spécifique identifiée pour examen. Avant le début de l’examen par les pairs, l’article 19(5) permet aux États membres de procéder à une auto-évaluation et de la fournir aux experts en cybersécurité désignés. Le Groupe de coopération établit la méthodologie d’auto-évaluation.

L’examen par les pairs lui-même implique des experts en cybersécurité désignés par au moins deux États membres différents de l’État membre examiné. Ces experts proviennent d’autres États membres et sont désignés sur la base de critères objectifs, non discriminatoires, équitables et transparents. La Commission et l’ENISA participent en tant qu’observateurs aux examens par les pairs. Cela garantit que les examens par les pairs ne sont pas des activités purement bilatérales entre États membres, mais bénéficient d’une supervision au niveau de l’UE.

L’article 19(6) précise que les examens par les pairs comportent des visites sur site physiques ou virtuelles et des échanges d’information à distance. La visite sur site est essentielle ; elle permet aux experts d’observer directement les installations de l’État membre, d’interroger le personnel clé et de recueillir des preuves qui ne peuvent être obtenues à distance. Les échanges à distance permettent une collecte d’information supplémentaire et la clarification des conclusions.

L’État membre soumis à l’examen par les pairs doit coopérer et fournir aux experts en cybersécurité désignés les informations nécessaires à l’évaluation. Toutefois, cette coopération est soumise à des limitations importantes : elle est « sans préjudice du droit de l’Union ou national concernant la protection des informations confidentielles ou classifiées et la sauvegarde des fonctions essentielles de l’État, telles que la sécurité nationale. » Cela signifie qu’un État membre peut retenir des informations pour des motifs de sécurité nationale, mais cette autorité est limitée et devrait être utilisée avec parcimonie. Des invocations larges de la sécurité nationale ne devraient pas être utilisées pour éviter la responsabilité envers les examinateurs par les pairs.

Conflit d’intérêts et qualification des experts

L’article 19(8) exige que tout risque de conflit d’intérêts concernant les experts en cybersécurité désignés soit révélé aux autres États membres, au Groupe de coopération, à la Commission et à l’ENISA avant le début de l’examen par les pairs. Des conflits d’intérêts pourraient survenir si un expert a travaillé pour l’État membre examiné, si l’expert a des intérêts commerciaux dans l’État membre examiné, ou s’il existe d’autres relations qui pourraient compromettre l’impartialité de l’expert.

L’État membre examiné a le droit de s’opposer à la désignation d’experts en cybersécurité particuliers pour des motifs dûment justifiés. Si un expert examinateur est partial ou présente un conflit d’intérêts clair, l’État membre examiné peut s’y opposer et demander un remplacement. Ce droit est important pour la crédibilité du processus d’examen par les pairs ; les examinateurs doivent être perçus comme impartiaux.

La désignation d’experts en cybersécurité appropriés est essentielle à la qualité des examens par les pairs. Les experts doivent disposer d’une expertise suffisante en cybersécurité, en matière réglementaire et politique, dans les domaines spécifiques examinés, et dans les cadres juridiques et institutionnels pertinents pour l’État membre examiné. Il s’agit d’un ensemble de compétences exigeant. L’établissement par le Groupe de coopération de critères clairs pour la désignation des experts est donc crucial.

Codes de conduite

L’article 19(6) exige que le Groupe de coopération, en coopération avec la Commission et l’ENISA, développe des codes de conduite appropriés qui sous-tendent les méthodes de travail des experts en cybersécurité désignés. Ces codes de conduite traitent plusieurs questions.

Premièrement, ils devraient établir des obligations de confidentialité. Les informations sensibles obtenues lors d’un examen par les pairs (stratégies, détails techniques, évaluations internes) doivent être traitées comme confidentielles. Les codes de conduite devraient exiger que les experts ne divulguent pas ces informations à des tiers.

Deuxièmement, ils devraient établir des principes d’impartialité et d’équité. Les experts devraient être tenus de mener les examens sur la base de preuves objectives, de traiter tous les États membres équitablement et d’éviter les biais.

Troisièmement, ils devraient établir des procédures pour traiter les litiges ou désaccords. Si un État membre s’oppose à des conclusions ou recommandations, quel processus existe pour résoudre le désaccord ? Les codes de conduite devraient fournir de la clarté sur de telles procédures.

Quatrièmement, ils devraient traiter l’utilisation des informations recueillies lors des examens. Ces informations ne peuvent généralement être utilisées qu’à des fins d’examen par les pairs, et non pour des actions d’exécution ou d’autres fins réglementaires. Cette limitation est importante pour encourager les États membres à être francs lors des examens par les pairs.

Rapports d’examen par les pairs et suivi

Une fois l’examen par les pairs achevé, les experts en cybersécurité préparent un rapport sur leurs conclusions et constatations. L’article 19(9) permet à l’État membre examiné de fournir des commentaires sur le projet de rapport, et ces commentaires sont joints au rapport final. Ce droit de commenter garantit que la perspective de l’État membre est représentée dans le document final.

Les rapports d’examen par les pairs comprennent des recommandations pour permettre l’amélioration des aspects couverts par l’examen. Ce ne sont pas des exigences obligatoires ; ce sont des suggestions fondées sur les bonnes pratiques et l’évaluation par l’examinateur des domaines où l’État membre pourrait s’améliorer. Cependant, les recommandations des examinateurs par les pairs ont un poids significatif, et un État membre qui ne traite pas des recommandations substantielles d’examen par les pairs pourrait faire face à des questions de la Commission ou du Groupe de coopération sur les raisons pour lesquelles les améliorations ne sont pas poursuivies.

L’article 19(9) prévoit qu’un État membre soumis à un examen par les pairs peut décider de rendre son rapport, ou une version expurgée de celui-ci, publiquement accessible. Cette transparence est précieuse ; elle démontre la responsabilité et permet à d’autres États membres d’apprendre des conclusions.

Le réseau CSIRT évalue les progrès réalisés concernant les examens par les pairs et inclut les conclusions dans son rapport biennal au Groupe de coopération. Cela garantit que les résultats des examens par les pairs informent la politique de cybersécurité de l’UE et le développement des capacités à plus grande échelle.

Calendrier et fréquence

L’article 19(7) précise qu’une fois qu’un État membre a fait l’objet d’un examen par les pairs couvrant des aspects particuliers, ces mêmes aspects ne feront pas l’objet d’un nouvel examen par les pairs dans cet État membre pendant deux ans suivant la conclusion de l’examen par les pairs, sauf demande contraire de l’État membre ou accord sur proposition du Groupe de coopération. Cette disposition empêche la répétition excessive des examens et donne aux États membres le temps de mettre en œuvre les recommandations avant d’être réexaminés sur les mêmes sujets.

Le Groupe de coopération établit un calendrier pour les examens par les pairs et coordonne quels États membres subissent un examen quelles années. Parce que la participation est volontaire (comme indiqué à l’article 19(1)), tous les États membres ne subissent pas d’examens simultanément. Au lieu de cela, les examens sont échelonnés pour permettre des ressources adéquates et pour permettre aux enseignements des examens antérieurs d’informer les examens ultérieurs.

Impact sur les autorités compétentes et les entités

Les examens par les pairs, bien que menés au niveau de l’État membre, ont des implications pour les autorités compétentes et les entités essentielles/importantes. Si un examen par les pairs identifie des déficiences dans les capacités de l’autorité compétente, le gouvernement de l’État membre devrait remédier à ces déficiences, potentiellement en allouant des ressources supplémentaires ou en restructurant les dispositifs de supervision. Si un examen par les pairs identifie une faible mise en œuvre des mesures de cybersécurité de l’article 21 parmi les entités essentielles, l’autorité compétente devrait accroître l’activité de supervision pour combler l’écart.

À l’inverse, si les examinateurs par les pairs identifient des bonnes pratiques qui se sont révélées efficaces dans un autre État membre, les entités essentielles devraient être encouragées à adopter des pratiques similaires, et les autorités compétentes devraient envisager si elles doivent renforcer leurs orientations aux entités.

Points clés à retenir

  • L’article 19 établit un mécanisme d’examen par les pairs par lequel les États membres évaluent mutuellement leur mise en œuvre de la cybersécurité et leurs capacités. Les examens sont volontaires et sont menés par des experts en cybersécurité d’autres États membres, avec observation de la Commission et de l’ENISA.

  • Les examens par les pairs peuvent couvrir la mise en œuvre des mesures des articles 21 et 23, les capacités des autorités compétentes, les capacités opérationnelles des CSIRT, les mécanismes d’assistance mutuelle, les arrangements de partage d’information, et des questions spécifiques transfrontalières ou intersectorielles.

  • Le Groupe de coopération établit la méthodologie d’examen par les pairs d’ici le 17 janvier 2025, y compris les critères de désignation des examinateurs experts, les procédures de collecte de preuves et les cadres d’évaluation. La méthodologie doit être objective, non discriminatoire, équitable et transparente.

  • Les États membres examinés doivent coopérer avec les experts, fournir les informations nécessaires et peuvent fournir des commentaires sur les projets de rapports. Ils peuvent s’opposer à la désignation d’examinateurs pour des motifs de conflit d’intérêts.

  • Les codes de conduite régissent la conduite des experts, exigeant la confidentialité, l’impartialité, des procédures équitables et l’utilisation appropriée des informations obtenues lors des examens. Ces codes sont développés par le Groupe de coopération avec la contribution de la Commission et de l’ENISA.

  • Les rapports d’examen par les pairs comprennent des conclusions et des recommandations ; les États membres peuvent publier les rapports (ou des versions expurgées) pour démontrer leur responsabilité. Les aspects couverts par un examen par les pairs ne peuvent pas être réexaminés pendant deux ans, sauf si l’État membre le demande ou si le Groupe de coopération le propose.

Daniel Grigorovich

Daniel Grigorovich · Fondateur

Je pense qu'aucune entreprise ne devrait avoir à subir les « listes de contrôle de conformité » ni à se débattre avec des textes réglementaires obscurs. Bien que je reste attaché au principe selon lequel tous les logiciels doivent être fiables et sécurisés, je souhaite offrir aux entreprises un moyen de surmonter les difficultés rencontrées lors de la mise en œuvre de ces exigences.