Member States Confronted with EU-Based Rules in the Field of Cybersecurity, The Effectiveness of Directive (EU) 2016/1148
Les Etats-Membres de l’Union Européenne face aux règles européennes en matière de cybersécurité : L'effectivité de la Directive (UE) 2016/1148
Résumé
Directive 2016/1148 (known as the NIS Directive) is the first European Union law calling on Member States to address the digital network security challenges collectively and globally in several key areas (namely energy, transport, banking, stock exchanges, and digital services providers, public administrations etc.), while underlining the need for a coherent EU cyber-friendly international policy. The NIS Directive came into force in August 2016. Member States had 21 months, until 9th of May, to transpose the Directive into national law and had an additional 6 months to identify the operator’s basic services. Despite progress made by EU Members states in adopting their national strategy on the security of network and information systems, the transposition of the NIS directive across the EU offers a fragmented landscape. Thie present thesis attempts, from a case study – the NIS directive – to offer a reflection on the effectiveness of European directives and their capacity of harmonizing the European rules. The added value of this thesis lies in the analysis and comparison of six national regulatory frameworks, those of Finalnd, France, Greece, Ireland, Luxembourg, and Poland in order to identify points of divergence or convergence. The objective of this specific study is to shed more light on the reasons why the Member States transpose directives in many different ways. To study the state of play on the network and information systems security in each of the six Member States of the EU studied in this thesis , a framework was established with specific criteria on the basis of which the evaluation is carried out. For assessing the discretionary use of the regulatory leeway by Finland, France, Greece, Ireland, Luxembourg and Poland three hypothesis have been tested regarding the degree of policy misfit, of institutional misfit and the administrative effectiveness. From this assessment, it emerged that the more the Directives offer a regulatory leeway to EU Member States for the transposition of their content, the more the preservation of national interests by EU Member States affects the uniform application of directives across the EU. Because, if the transposition of the NIS Directive by the Member States, studied here, was legally compliant in the short term. The application and the enforcement of the national laws of transposition risk highlighting, in the long term, the extent of regulatory divergences on the protection of network and information systems across the EU.
La directive 2016/1148 (connue sous le nom de directive SRI) est la première directive de l'Union européenne invitant les États membres à relever collectivement et globalement, les défis de sécurité des réseaux numériques dans un certain nombre de domaines clés (à savoir l'énergie, les transports, la banque, les bourses, les fournisseurs de services numériques…), tout en soulignant la nécessité d'une politique internationale cohérente de l'UE dans le domaine cyber. La directive SRI est entrée en vigueur en août 2016. Les États membres disposaient de 21 mois, jusqu'au 9 mai, pour transposer la directive en droit national et disposaient de 6 mois supplémentaires pour identifier les opérateurs de services essentiels. Malgré les progrès réalisés par les États membres de l'UE dans l'adoption de leur stratégie nationale sur la sécurité des réseaux et des systèmes d'information, la transposition de la directive SRI à travers l'UE n’est pas uniforme. La présente thèse tente, à partir d'une étude de cas – la directive SRI – d'offrir une réflexion sur l'effectivité des directives européennes et leur capacité à harmoniser les règles européennes. Ainsi, contrairement à la littérature existante, la valeur ajoutée de cette thèse consiste à analyser et comparer la transposition de la Directive SRI dans six Etats Membre de l’UE – la Finlande, la France, la Grèce, l’Irelande, le Luxembourg et la Pologne – afin d'identifier des points de divergence ou de convergence. L'objectif de cette étude spécifique est d’apporter d’avantage d’éclaircissements sur les raisons pour lesquelles les Etats-Membres de l’Union Européenne ne transpose pas de manière uniforme les directives européennes. Afin d'étudier l'état d'avancement de la sécurité des systèmes de réseau et d’information dans chacun des six États membres de l’UE étudiés, un cadre a été établi avec des critères spécifiques sur la base duquel l'évaluation est réalisée. Pour évaluer l'utilisation discrétionnaire de la marge de manœuvre accordée par la Directive par la Finlande, la France, la Grèce, l'Irlande, le Luxembourg et la Pologne, trois hypothèses ont été testées concernant le degré d'inadéquation politique, d'inadéquation institutionnelle et d'efficacité administrative. De cette évaluation, il en ressort que plus les directives européennes offriront une marge de manœuvre réglementaire aux Etats-Membres de l’UE pour la transposition de leur contenu, plus la préservation des intérêts nationaux par les États membres de l'UE affectera la mise en application uniforme des directives à travers l’UE. Car, si la transposition de la Directive SRI par les Etats-Membres, ici étudiés, a été légalement conforme à court terme. La mise en application des loi nationaux de transposition risque de mettre en évidence, sur le long terme, l’étendu des divergences réglementaires sur la protection des systèmes de réseau et d’information à travers l’UE.
Origine : Version validée par le jury (STAR)