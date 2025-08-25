Introduction

Le 28 novembre 2022, l'UE a adopté la Directive (UE) 2022/2555 (« SRI 2 »), qui représente une expansion significative de son cadre réglementaire en matière de cybersécurité1. S'appuyant sur la directive initiale sur les réseaux et systèmes d'information (« SRI 1 »)2, elle vise à créer un environnement numérique plus résilient et harmonisé à travers l'UE.

Les entreprises canadiennes, quel que soit leur emplacement, peuvent être soumises à des obligations liées à la SRI 2 si elles offrent des services dans l'UE ou y exercent des activités.

Qu'est-ce que la SRI 2?

Comparativement à la SRI 1, la SRI 2 couvre un éventail plus large d'entités publiques et privées, introduit des obligations plus strictes en matière de gestion des risques et de signalement des incidents, et renforce les mécanismes d'application grâce à des pouvoirs de supervision accrus.

La SRI 2 permet aux autorités compétentes d'effectuer des audits, d'émettre des instructions contraignantes et d'imposer des mesures correctives. La conformité exige la mise en Suvre de solutions telles que des cadres de sécurité informatique avancés, des formations régulières du personnel, des protocoles robustes de réponse aux incidents et une préparation à une surveillance continue, y compris des inspections et des évaluations formelles de conformité.

Comment les obligations de la SRI 2 sont-elles mises en Suvre?

Contrairement aux autres textes de la série qui sont des règlements, chaque État membre de l'UE doit transposer SRI 2 dans son droit national respectif. Cela signifie que la SRI 2 ne s'applique pas directement dans le droit national, mais que chaque État doit adopter une loi nationale pour la transposer. Par conséquent, des différences régionales peuvent exister dans son application. Par exemple, la Hongrie, la Finlande et la Belgique excluent les secteurs bancaires et financiers, couverts par le règlement sur la résilience opérationnelle numérique (DORA)3. D'autres États membres vont au-delà des exigences minimales. En effet, l'Espagne, dans son projet de loi, inclut l'industrie nucléaire, tandis que la Pologne inclut l'extraction minière dans le secteur de l'énergie et les communications électroniques dans les infrastructures numériques.

À la suite de la date limite d'octobre 2024 pour transposer la SRI 2, 23 États membres ont fait l'objet de procédures d'infraction pour avoir manqué à l'obligation de notifier leurs mesures nationales à la Commission européenne4. En mai 2025, 19 d'entre eux n'avaient toujours pas respecté cette obligation et avaient reçu un avis motivé avec un délai de deux mois5. À la date de ce bulletin, 14 États membres avaient transposé la SRI 2 dans leur droit national6, tandis que 13 autres avaient des projets de loi en attente. En cas de non-respect du nouveau délai par ces 13 États, la Commission pourrait saisir la Cour de justice de l'UE.

Qui est concerné par les obligations de la SRI 2?

Les obligations liées à la SRI 2 peuvent s'appliquer aux entités publiques et privées, selon la criticité du secteur dans lequel elles opèrent et leur importance.

Les secteurs sont classés selon leur importance pour le fonctionnement de l'économie et de la société. Les secteurs hautement critiques, comme l'énergie et les infrastructures numériques, sont soumis à des obligations de cybersécurité plus strictes. Les autres secteurs critiques, comme les services postaux, sont soumis à des exigences légèrement moins rigoureuses.

Les entités sont également catégorisées selon leur taille et leur rôle. Les entités essentielles sont généralement de grandes organisations fournissant des services fondamentaux à la société et à l'économie. Les entités importantes incluent typiquement des entreprises de taille moyenne dans des secteurs hautement critiques ou des entreprises moyennes à grandes dans d'autres secteurs critiques7,8.

Les entreprises canadiennes doivent-elles se conformer?

Les entreprises canadiennes opérant dans des secteurs critiques ou hautement critiques et fournissant des services essentiels ou importants dans l'UE peuvent être soumises à des obligations de conformité liées à la SRI 2. Elles doivent également désigner un représentant légal dans l'État membre de l'UE où leurs services sont offerts.

Le non-respect des obligations liées à la SRI 2 peut entraîner des sanctions importantes. Les entités essentielles peuvent être passibles d'amendes allant jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial, tandis que les entités importantes peuvent encourir des amendes allant jusqu'à 7 millions d'euros ou 1,4 % du chiffre d'affaires annuel mondial.

Les lois de transposition peuvent prévoir des sanctions supplémentaires. Par exemple, la loi belge permet à l'autorité nationale de cybersécurité de suspendre temporairement les services d'une entité ou d'interdire à des dirigeants d'exercer leurs fonctions9. Le projet de loi français prévoit des mesures similaires10.

