Pourquoi l'article 38 est-il important ? Pourquoi les actes délégués sont le nouveau moteur de la cyber-résilience de l'UE.
Le responsable de la conformité d'aujourd'hui n'hérite pas seulement des règles : il se prépare désormais à des règles qui ne sont même pas encore arrivées. Article 38 de Règlement d'exécution UE 2024-2690 L'Union européenne entre dans une nouvelle ère de gouvernance agile de la cybersécurité, permettant à la Commission européenne, par le biais d'actes délégués, de faire évoluer les normes sans la lourdeur des cycles législatifs. Il s'agit moins d'amendements techniques que d'un accord évolutif et cohérent avec le paysage des menaces réel : une architecture conçue pour maintenir vos contrôles en permanence pertinents, et non pas seulement formellement « en place ».
La conformité n’est plus une danse lente avec des règles statiques : c’est un réflexe qui s’adapte aussi vite que la menace.
Alors que la planification des audits s'articulait autrefois autour d'échéances fixes et connues, les actes délégués de l'article 38 imposent à votre cadre de contrôle du SMSI de s'appuyer sur l'anticipation et une révision continue. Le Parlement européen et le Conseil disposent du droit de veto essentiel, ainsi que du pouvoir de révoquer la délégation, ce qui vous offre des garde-fous institutionnels contre les excès réglementaires sans pour autant freiner la lutte contre les acteurs hostiles ou les incidents mondiaux.
Résultat ? Les responsables de la sécurité et de la conformité doivent désormais impérativement adopter une approche d'analyse prospective, et non plus des plateformes de luxe prêtes à évoluer. des pistes de vérificationet une communication en temps quasi réel avec les parties prenantes. Les actes délégués sont votre nouveau « battement de cœur » en matière de conformité ; vos processus doivent donc évoluer, passant d'obligations statiques à des habitudes de vie.
Comment le règlement est-il rédigé ? Au cœur de la consultation et de la surveillance : chaque acte délégué est contrôlé.
Si l'article 38 donne aux institutions leur moteur, la consultation en est le volant. Le processus d'adoption des actes délégués sollicite activement la contribution, non seulement des régulateurs nationaux et des autorités sectorielles, mais aussi des acteurs du secteur privé, en particulier ceux qui gèrent des chaînes d'approvisionnement complexes ou transfrontalières (y compris les PME).
Si vous n'êtes pas visible lors de la consultation, vous risquez d'être surpris par des exigences conçues pour les opérations de quelqu'un d'autre.
Pour les équipes de conformité, attendre l'annonce du Journal officiel revient à attendre l'alerte incendie avant de souscrire une assurance : trop tard, trop réactif. Les organisations avisées désignent des responsables de la conformité pour suivre les demandes d'avis de l'ENISA, s'associer aux consortiums industriels locaux et nouer des relations précoces avec leurs autorités compétentes. C'est la voie pratique pour une alerte précoce et une influence directe, essentielle si votre entreprise est un fournisseur de confiance, un processus d'authentification ou un secteur spécifique. registre des risques est susceptible d’être mentionné dans une future loi.
Avec les actes délégués, la publication n'est qu'un début : votre équipe de conformité doit décoder non seulement la loi principale, mais aussi les références annexes cachées et les superpositions sectorielles imposées au niveau national. Ici, la visibilité n'est pas synonyme de préparation, mais de vigilance.
Maîtrisez NIS 2 sans le chaos des feuilles de calcul
Centralisez les risques, les incidents, les fournisseurs et les preuves dans une seule plateforme propre.
Quel est le calendrier de Bruxelles à la réunion du conseil d'administration ? Cartographier le cycle de conformité pour une préparation pratique
Prévoir les étapes, de l'ébauche à l'application de la loi, constitue désormais un avantage concurrentiel. La conformité à l'article 38 ne dépend pas du premier lecteur du Journal officiel ; elle est assurée par ceux qui ont opérationnalisé chaque phase comme un processus, et non comme une simple note de politique générale.
La plupart des entreprises se démènent lorsque le calendrier est serré ; les dirigeants planifient la préparation bien avant le début du temps imparti.
Le parcours en six étapes d'un acte délégué :
| Stage | Votre action de surveillance | Sortie/Déclencheur | Outils / Preuves |
|---|---|---|---|
| Loi sur la Commission du dessin | Activer les alertes par e-mail de l'ENISA/Commission | Signal de conformité précoce (traçable) | Flux réglementaire, journal des alertes internes |
| Consultation d'experts des États membres | Assister/surveiller les groupes sectoriels | Fenêtre de consultation des notes, position de préparation | Procès-verbal, ordre du jour de la réunion |
| Publication au Journal officiel | Horodatage, mise à jour des parties prenantes | Le compte à rebours de la conformité commence | Notification, ISMS.en ligne le journal des modifications |
| Délai d'objection (2 à 4 mois) | Suivre la fenêtre de veto, ordonner le gel si nécessaire | Suspension conditionnelle placée sur la mise à jour | Calendrier, modifier l'horaire |
| Entrée en vigueur | Lancer le flux de travail, attribuer des tâches de changement | Mise à jour des politiques/contrôles, formation du personnel, audit | Plan de projet, gestion des versions des politiques |
| Révocation ou expiration | Suivi via la communication CE/ENISA/Parlement | Inversion de politique/d'archive, restauration de contrôle | Étagère de politique, journal de restauration de version |
Prenons l'exemple d'un fournisseur de cloud qui, suite à un acte délégué nécessitant une cryptographie améliorée, a utilisé le flux de travail de notification d'ISMS.online pour suspendre instantanément les modifications sensibles du projet, synchroniser le registre des risqueset acheminer les tâches de preuve entre les équipes réparties. L'entreprise est ainsi passée d'un chaos réactif à une exécution fluide et vérifiable.
Quel est le risque d'un retard ? Les enjeux concrets d'un non-respect du délai de conformité
Les actes délégués ne sont pas hypothétiques. Manquer une date peut entraîner un échec à l'audit. rapport d'incidenting, violation de la chaîne d'approvisionnement et amendes publiques. À mesure que la réglementation s'accélère, comme en témoignent des cadres comme DORA pour les services financiers, même un léger retard dans l'adaptation des contrôles ou des preuves peut rompre des contrats commerciaux lucratifs (KPMG).
Lorsque la conformité est une course, finir en retard n’est pas différent de ne pas finir du tout.
Tableau des risques : déclencheurs d'actes délégués et éléments à consigner
| Événement déclencheur | Mise à jour des risques | Lien Contrôle/SoA | Preuves enregistrées |
|---|---|---|---|
| Acte délégué publié | Risque de non-conformité | Mettre à jour la politique/le contrôle du SMSI | Date de la version, remerciements du propriétaire |
| Objection soulevée dans la fenêtre | Mise à jour en attente | Mettre en pause la mise en œuvre | Enregistrer une note, un journal de notifications |
| Acte délégué révoqué/expiré | Une action de retour est nécessaire | Restaurer les SoA/contrôles antérieurs | Journal de restauration, preuve d'audit |
Exemple concret : une entreprise de transport a été sanctionnée pour avoir manqué une mise à jour de sécurité de sa chaîne d'approvisionnement en raison d'un retard dans l'examen juridique. Après la violation, elle a intégré une cartographie automatisée de chaque acte à journaux des modifications et les propriétaires de tâches, réduisant ainsi les reprises et rétablissant la confiance des régulateurs.
Soyez prêt pour NIS 2 dès le premier jour
Lancez-vous avec un espace de travail et des modèles éprouvés : personnalisez, attribuez et c'est parti.
Qui tient le frein ? Comprendre la surveillance qui vous protège des contrecoups réglementaires
L'article 38 n'accélère pas seulement le changement ; il encode des freins d'urgence. Le Parlement européen et le Conseil peuvent bloquer ou révoquer instantanément les pouvoirs délégués, suspendant ainsi leur application avec effet immédiat. Pour les architectes de la conformité, cela signifie que la gestion du changement exige non seulement une action, mais aussi un retrait, et une réserve vérifiable pour les contrôles « en pause » ou caducs.
Les dirigeants ne se contentent pas de suivre les changements ; ils repèrent les inversions et font preuve d’une surveillance continue.
Adoptez un changer d'étagère: une archive indexée des contrôles inactifs ou annulés, avec horodatage et journaux de preuves. Interrompu par une contestation judiciaire ? Restaurez votre SDA et vos contrôles antérieurs en quelques secondes. Un acte révoqué ? Fournissez instantanément des preuves de la restauration ou de la suspension de votre politique aux clients et aux auditeurs. Ceci transforme inversions de conformité de la panique à la dynamique commerciale protégeant les preuves, même si les vents juridiques changent.
ISMS.online et les plateformes similaires automatisent désormais cette opération, en synchronisant les contrôles, la documentation et la formation en amont et en aval.
Peut-il y avoir une « Europe unique » ? Pourquoi la double cartographie est-elle une réalité pour le contrôle multinational ?
Le modèle d'acte délégué vise l'uniformité ; en pratique, il crée un spectre allant de l'harmonisation au patchwork. Traductions nationales, superpositions législatives, calendriers sectoriels : tout cela complique le rêve d'une « plateforme unique, une mise à jour unique », en particulier pour les multinationales opérant dans des environnements réglementaires divergents.
Tableau : Conformité harmonisée ou disparate dans la pratique
| Élément de conformité | Harmonisé (Idéal) | Patchwork (Réalité) |
|---|---|---|
| Mise à jour de la politique | Déploiement unique dans toute l'UE | Adaptations spécifiques à chaque pays |
| Gestion des fournisseurs | Exigences uniformes | Personnalisation locale requise |
| La piste de vérification | Un registre de preuves | Journaux multiples et interconnectés |
| Gestion des incidents | Plan unifié | Répartition par secteur et juridiction |
Préparez-vous à une « double cartographie » : conservez à la fois la version principale de la CE et les superpositions locales. Cela implique des politiques parallèles, des SDA cartographiés et un suivi des données probantes à travers une matrice de juridictions. Une participation précoce aux consultations, tant à Bruxelles qu'au niveau local, peut anticiper une grande partie de cette complexité, rendant l'unification possible même dans un paysage fragmenté.
Tous vos NIS 2, tout en un seul endroit
Des articles 20 à 23 aux plans d’audit, exécutez et prouvez la conformité, de bout en bout.
Comment l'article 38 transforme-t-il le droit en un contrôle vivant ? Les mécanismes d'intégration du changement
Dans la conformité moderne, la « loi » ne signifie rien à moins qu’elle ne soit étroitement liée aux flux de travail de la plateforme, aux propriétaires responsables et preuve vivante journaux.
Un acte délégué qui n'atteint pas votre SMSI en 7 jours constitue déjà un risque lors de votre prochain audit.
Chaîne de changement automatisée :
- Lancez le flux de travail avec le déclencheur d'acte EC, attribuez un propriétaire clair, modifiez l'horodatage.
- Mettre à jour la déclaration d'applicabilité (SoA), en fournissant la justification de la clause et la référence croisée à la loi.
- Joignez des preuves : e-mails, journaux de formation, accords avec les fournisseurs, mises à jour de politiques, tous référencés et versionnés pour l'audit.
- Utilisez les tableaux de bord de la plateforme pour que chaque partie prenante (informatique, juridique, achats) agisse de manière synchronisée et que rien ne soit oublié en raison d'une communication cloisonnée.
ISMS.online permet un alignement en direct : un acte délégué arrive le vendredi, les notifications et les mises à jour des projets sont déclenchées le lundi, et les journaux de preuves lient l'action à la date limite, ce qui produit une piste d'audit à la fois en temps quasi réel et de niveau régulateur (ISMS.online Audit DB).
Et maintenant ? Étapes suivantes pour bâtir un système de réponse aux actes délégués résilient
La course à la conformité n’est pas gagnée par ceux qui lisent la loi le plus rapidement, mais par ceux qui comblent l’écart entre le changement et la mise en œuvre. preuves prêtes à être vérifiées avec clarté et automatisation.
Actions à emporter :
- Affectez la surveillance des actes délégués à un rôle planifié, quotidien ou hebdomadaire, et non annuel.
- Mappez chaque modification à une politique, un processus, un contrôle et une clause SoA spécifiques et versionnés : enregistrez qui agit et quand.
- Intégrez les obligations de notification dans les contrats des fournisseurs/vendeurs ; assurez-vous également que la conformité de vos partenaires est vérifiable.
- Choisissez un SMSI qui automatise les alertes, le contrôle des versions, la collecte de preuves et la synchronisation entre les équipes, afin qu'aucun acte, aucune pause ou aucun retour en arrière ne soit manqué.
Aujourd'hui, le leader de la conformité se mesure non seulement à la rapidité des mises à jour, mais aussi à la clarté et à la fiabilité des traces qu'il laisse. À l'ère du droit, votre piste d'audit doit dépasser le calendrier juridique et votre plateforme doit transformer les actes délégués, non plus comme un risque, mais comme une preuve de compétitivité.
L’avenir de la cyberconformité européenne ne se résume pas à des contrôles définis et oubliés : il repose sur des équipes résilientes, des changements vérifiables et une preuve d’adaptabilité à chaque étape.
Foire aux questions
Qui exerce, supervise et peut révoquer en dernier ressort les pouvoirs délégués en vertu de l’article 38 du NIS 2 ?
L'article 38 de la NIS 2 confère à la Commission européenne le pouvoir d'adopter des actes délégués, mais place ce pouvoir sous la supervision directe et continue du Parlement européen et du Conseil. Le rôle de la Commission est d'émettre des actes délégués permettant d'ajuster rapidement les détails techniques de la directive – comme les exigences de sécurité ou les clarifications sectorielles. Cependant, la Commission ne peut agir unilatéralement. Chaque projet doit faire l'objet d'une consultation formelle d'experts techniques de tous les États membres de l'UE, généralement coordonnée par l'ENISA ou des groupes d'experts sectoriels, afin de garantir la prise en compte des priorités nationales et des réalités techniques.
Dès l'adoption d'un acte délégué, le Parlement et le Conseil en sont immédiatement informés. Chaque institution, et non une seule, peut s'y opposer, empêchant ainsi l'acte de produire ses effets juridiques. De plus, toutes deux peuvent révoquer à tout moment le pouvoir de la Commission d'émettre des actes délégués, avec effet dès le lendemain de l'annonce de leur décision. Ce « double veto » garantit que l'agilité technique ne compromet jamais le contrôle démocratique.
Tableau de supervision des pouvoirs délégués
| phase | Rôle de la Commission | Surveillance par le Parlement/Conseil | Contribution d'experts via ENISA/Sectoriel |
|---|---|---|---|
| Projet d'acte délégué | Projet/adoption | Notification immédiate | Retour technique obligatoire |
| Post-adoption | Délai d'objection de 2 (+2) mois | ||
| Révocation de l'autorité déléguée | À tout moment, prend effet instantanément |
Références:
Quels délais stricts et notifications s’appliquent à l’exercice ou à la révocation des pouvoirs délégués en vertu de l’article 38 ?
Les pouvoirs délégués en vertu de l’article 38 fonctionnent selon un cycle fixe de cinq ans, avec renouvellement automatique, sauf intervention du Parlement ou du Conseil. Lorsque la Commission européenne adopte un acte délégué, elle doit en informer immédiatement le Parlement et le Conseil, ce qui ouvre un délai d'objection de deux mois (prolongeable de deux mois supplémentaires sur demande formelle). Un acte délégué n'entrera en vigueur que si les deux institutions laissent ce délai se terminer sans objection. La révocation des pouvoirs de la Commission – si le Parlement ou le Conseil juge qu'ils ont été abusés – prend effet le lendemain de la notification publique, sauf indication contraire.
Neuf mois avant la clôture du cycle quinquennal, la Commission doit rendre compte de l'exercice de ses pouvoirs délégués, laissant ainsi au Parlement et au Conseil suffisamment de temps pour les examiner, s'y opposer ou autoriser leur renouvellement automatique. Les actes déjà en vigueur au moment de la révocation restent généralement en vigueur, sauf annulation expresse.
Aperçu rapide de la chronologie de l'article 38
| L'évenement important | Chronologie/Fenêtre | Acteur responsable |
|---|---|---|
| Pouvoirs conférés | Cinq ans (à partir de janvier 2023) | Commission, Parlement, Conseil |
| Notification de la nouvelle loi adoptée | Immédiat | Commission aux deux institutions |
| Fenêtre d'objection standard | 2 (+2) mois | Parlement ou Conseil |
| Rapport avant renouvellement | 9 mois avant expiration | Commission |
| Action en révocation | À tout moment ; le lendemain | Parlement ou Conseil |
Références:
Comment le régime de délégation de pouvoir de l’article 38 modifie-t-il la gestion quotidienne de la conformité pour les organisations réglementées ?
L’article 38 fait passer la conformité des exercices de liste de contrôle épisodique à une vigilance réglementaire en temps réel. Toute obligation technique déléguée peut désormais être modifiée, avec un préavis de deux à quatre mois seulement, si la Commission adopte une nouvelle loi. Pour les organisations, cela crée à la fois de l'agilité et des risques. Les responsables de la conformité (ou les responsables de la plateforme SMSI) doivent :
- Suivi des nouveaux actes délégués (Journal officiel, communiqués de l'ENISA, communiqués de presse de la CE)
- Mettre à jour les registres de risques et de contrôle immédiatement lorsqu'un acte délégué entre en vigueur ou lorsqu'une objection bloque ou annule une modification
- Informer les équipes concernées et les partenaires de la chaîne d'approvisionnement des changements ou des annulations, en particulier lorsqu'un acte est révoqué ou contesté après le début de la mise en œuvre locale
- Preuve d'audit Les pistes sont fréquentes, car les contrôles manquants ou obsolètes liés à un acte délégué nouvellement appliqué (ou révoqué) exposent l'organisation à des lacunes d'audit, à des risques contractuels, voire à des mesures réglementaires.
La conformité moderne ne se mesure pas par la reconnaissance de la loi, mais par la rapidité et la confiance avec lesquelles votre équipe passe du changement de politique aux preuves prêtes à être auditées.
Les entreprises qui utilisent des systèmes automatisés plateformes de conformité Grâce à des fonctionnalités de traçabilité (telles que ISMS.online), il est possible de centraliser la cartographie des actes délégués, de minimiser la surveillance manuelle et de démontrer aux auditeurs qu'ils comblent rapidement les lacunes réglementaires.
Références:
- AuditBoard : Traçabilité de la conformité NIS2
- ISMS.online : Cartographie des actes délégués
Quelles consultations et procédures doivent avoir lieu avant qu’un acte délégué soit adopté par la Commission ?
Avant qu’un acte délégué ne soit finalisé, une consultation technique d’experts est obligatoire. La Commission consulte des experts désignés par chaque État membre, généralement par l'intermédiaire de groupes spécialisés organisés par l'ENISA ou d'organismes sectoriels. Ces consultations permettent d'approfondir la précision technique et de garantir la prise en compte des priorités des États membres. Un engagement plus large auprès de l'industrie, de la société civile ou des organismes de surveillance n'est pas légalement requis, mais il est de plus en plus recherché. Les organisations souhaitant apporter leur contribution peuvent souvent contacter les décideurs par l'intermédiaire de l'ENISA ou de groupes de travail nationaux. Après examen technique, le projet est publié et le Parlement et le Conseil sont invités à ouvrir leur période d'objection de deux mois (+2).
Tableau d'adoption des actes délégués
| phase | Responsable de la coordination | Consultation obligatoire |
|---|---|---|
| préparation | Commission | ENISA + représentants techniques des États membres |
| Avis d'experts | candidats des États membres | Procès-verbaux conservés ; résultats souvent publics |
| Contribution de non-experts | Optionnel (industrie/ONG) | Non obligatoire, mais recommandé |
| Notification | Commission | Parlement, Conseil, Journal officiel |
Références:
- Coalition du Centre pour les politiques de cybersécurité
Quels protocoles les organisations devraient-elles activer si le Parlement ou le Conseil bloque ou révoque un acte délégué ou les pouvoirs de la Commission ?
Si une objection est soulevée, les organisations doivent interrompre et, si nécessaire, annuler les activités de conformité liées à l’acte contesté. Cela implique de geler la mise en œuvre, de mettre à jour les dossiers d'audit et des fournisseurs, et de documenter les raisons des modifications dans tous les registres de preuves et de contrôle (« objection déposée » ou « délégation révoquée »). Si le Parlement ou le Conseil révoque l'intégralité des pouvoirs de la Commission, aucun nouvel acte délégué ne peut être émis, mais les actes en vigueur restent généralement en vigueur sauf abrogation formelle. Les équipes de conformité expérimentées « gelent » les contrôles à leur dernier état de validité, maintiennent une communication étroite avec les partenaires internes et externes, et préparent une chaîne de preuves visible pour un audit ou un contrôle juridique ultérieur.
Les responsables de la conformité qui réussissent traitent chaque objection réglementaire non pas comme un chaos, mais comme une routine – un test de leur préparation, et non de leur réflexe de précipitation.
Tableau des réponses de conformité
| Événement déclencheur | Action organisationnelle | Documentation requise |
|---|---|---|
| Objection du Parlement/Conseil | Mettre en pause/inverser les commandes ; informer le personnel/les fournisseurs | Consigner dans les journaux de preuves/d'audit |
| Révocation globale du pouvoir | Arrêtez de vous préparer à de nouveaux actes | Mise à jour du registre/journal ; alerte des équipes |
| L'acte existant demeure | Vérifier les modifications ; maintenir l'alignement | Conserver les journaux de contrôle, noter le statut |
Références:
- Maçons de Pinsent – Mise en œuvre de la loi NIS2
En quoi les pouvoirs délégués en vertu de l’article 38 diffèrent-ils de ceux du DORA ou du RGPD, et que doivent faire les organisations réglementées de manière croisée ?
L'article 38 du NIS 2 adopte une approche particulièrement large et rapide, avec le Parlement et le Conseil en mesure de bloquer ou de révoquer, et un mandat de consultation technique clair. DORA (secteur financier) et le RGPD (vie privée) ont des processus plus restreints : DORA limite les objections au Parlement, impose des consultations publiques et ferme la fenêtre d'objection plus tôt ; la mise en œuvre du RGPD varie selon les États membres et est parfois moins transparente ou plus lente.
Les organisations soumises à une réglementation croisée doivent :
- Suivre plusieurs fenêtres d’objection (NIS2 = 2+2 mois, DORA = 1–2 mois, GDPR = très variable)
- Maintenir des cartes/journaux de conformité clairs et distincts pour chaque acte délégué du régime, en suivant les chevauchements et en répondant aux révocations dans chaque système de manière indépendante
- Restez attentifs aux contradictions dues à la « surréglementation » nationale, où les réglementations locales dépassent ou diffèrent de la base de référence de l’UE.
- S'assurer que les équipes de conformité/juridiques sont équipées pour une analyse prospective continue et inter-cadres, sans s'appuyer sur un « calendrier de conformité » unique pour tout
Les réglementations de l’UE promettent une harmonisation, mais la conformité dans le monde réel est un patchwork mouvant ; les organisations survivent non pas en prévoyant chaque acte, mais en suivant chaque changement qui compte pour elles.
Pouvoirs délégués : comparaison des régimes de l'UE
| Régime | Qui peut bloquer | Type de consultations | Objection/Chronologie | Impact sur les entreprises |
|---|---|---|---|---|
| NIS 2 | Parlement/Conseil | Experts ENISA + MS | 2 (+2) mois | Obligations pansectorielles et larges |
| DORA | Parliament | Public, fenêtre plus courte | 1 + mois | Secteur financier uniquement, technique |
| GDPR | Parlement (principal) | Variable, principalement local | Variable | Fragmenté par État membre |
Références:
- Guide officiel ENISA NIS2 (PDF)
- Briefing du Parlement britannique : DORA/RGPD
