Recital 4 Wide divergence of implementation in NIS 1

La base juridique de la directive (UE) 2016/1148 était l’article 114 du traité sur le fonctionnement de l’Union européenne, dont l’objectif est la création et le fonctionnement du marché intérieur par l’amélioration de mesures pour le rapprochement des règles nationales. Les exigences en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; imposées aux entités fournissant des services ou exerçant des activités qui sont importantes d’un point de vue économique varient grandement d’un État membre à l’autre en ce qui concerne le type d’exigence, le niveau de précision et la méthode de surveillance. Ces disparités entraînent des coûts supplémentaires et créent des difficultés pour les entités qui fournissent des biens ou des services par-delà les frontières. Les exigences imposées par un État membre et qui diffèrent des exigences imposées par un autre État membre, voire qui les contredisent, peuvent avoir un impact considérable sur ces activités transfrontières. De surcroît, il est probable qu’une conception ou une mise en œuvre inadéquates des exigences de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; dans un État membre ait des répercussions sur le niveau de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; d’un autre État membre, en particulier en raison de l’intensité des échanges transfrontières. Le réexamen de la directive (UE) 2016/1148 a montré l’existence de fortes divergences dans sa mise en œuvre par les États membres, notamment eu égard à son champ d’application, dont la délimitation a dans une large mesure été laissée à l’appréciation des États membres. La directive (UE) 2016/1148 laissait également un large pouvoir d’appréciation aux États membres en ce qui concerne la mise en œuvre des obligations qu’elle prévoyait en matière de sécurité et de notification des incidents: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles;. Partant, ces obligations ont été mises en œuvre de manières considérablement différentes au niveau national. Des divergences de mise en œuvre similaires ont été constatées s’agissant des dispositions de ladite directive relatives à la supervision et à l’exécution.