Face à l’explosion du nombre d’attaques informatiques, l’UE muscle son dispositif de protection et impose à ses entreprises « essentielles et importantes » de se conformer à la nouvelle directive NIS 2. 
Le texte entrera en application le 17 octobre 2024. 

Des PME aux groupes du CAC 40, des milliers entreprises françaises sont concernées et doivent se mettre en ordre de marche sans attendre. 

En quoi consiste NIS 2 ? 

L’objectif de cette directive est de mieux armer l’Europe face aux cyberattaques, dont le nombre se multiplie chaque année et entraîne de lourdes conséquences pour les structures victimes. NIS 2 propose donc un ensemble de règles à respecter, des bonnes pratiques à appliquer pour mettre en place un système défensif efficace. Bien sûr, le risque 0 n’existe pas, mais déployer ces règles assurera une protection robuste. 

Quelles sont les entreprises concernées ?

La réglementation NIS1 concernait 4 % environ des entreprises européennes. 
NIS 2 étend le spectre et s’applique à plus de 160 000 entreprises. Il s’agit de toutes celles qui interviennent dans un domaine « essentiel ou important » (cf plus bas dans le texte) et qui réalisent plus de 10 millions d’euros de chiffre d’affaires ou emploient plus de 50 salariés. L’une des principales nouveautés repose sur l’obligation d’embarquer leurs sous-traitants dans la démarche. À elles de fixer les règles et de définir à quelles exigences doivent se conformer leurs prestataires. 

Quelles sont les autres obligations de NIS 2 ? 

NIS 2 propose donc des mesures concrètes de protection : identification des parties prenantes, définition d’une politique de sécurité, évaluation des risques, contrôles réguliers, méthodes de réduction des risques… En complément, les entreprises doivent assurer un reporting rigoureux auprès des autorités compétentes en cas d’incident et se conformer aux systèmes de certification européens, dont le futur CRA (Cyber Resilience Act). Toutes ces actions visent à mieux protéger les structures et les pays face aux menaces toujours plus présentes de puissances ou groupes hostiles et malveillants.

Il est un peu tôt pour mettre à disposition un document qui regroupe toutes les exigences réglementaires de NIS 2 : certaines exigences devraient s’appliquer à l’échelle nationale sans être modifiées comme la communication de certains contacts, tandis que d’autres doivent encore être déclinées au niveau national comme par exemple les mesures de cybersécurité. Ces mesures de sécurité seront accompagnées de guides et d’une assistance à la mise en œuvre qui dépendra du niveau des exigences de sécurité qui reste encore à définir.

Quelle sanction en cas de non conformité à NIS 2 ?

En cas de non-respect des exigences de NIS 2, les contrevenants s’exposent à des amendes et au « name & shame » : le nom des structures pas assez rigoureuses sera dévoilé, avec un risque d’image important. 

Quelles sont les prochaines étapes pour les entreprises ? 

L’Union européenne prend les devants et se dote de la législation la plus stricte en la matière pour mieux parer les menaces. C’est un enjeu de souveraineté et de protection de nos actifs. Il n’est pas à exclure que le champ d’application s’étende à l’avenir… Mais il faut se montrer rassurant : les exigences de NIS 2 restent basées sur le bon sens et les bonnes pratiques, au service de la performance et la sécurité des entreprises. Quelques mois suffisent pour se structurer : c’est donc le moment de se lancer pour rester dans les temps !

Domaines "Essentiel et important"

Les entreprises concernées sont regroupées en 2 grandes catégories. Les mêmes obligations s’appliquent à elles, mais selon un calendrier de mise en œuvre décalé.

Essentiel : 

• Énergie Transports Banques (secteur bancaire)
• Infrastructure des marchés financiers 
• Santé 
• Eaux potables et usées Infrastructure numérique 
• Gestion des services informatiques /BtB 
• Administration publique / administration centrale 
• Espace 

Important : 

• Services postaux et d'expédition 
• Gestion de déchets 
• Fabrication, production et distribution de produits chimiques 
• Production transformation et distribution de denrées alimentaires 
• Fabrication 
• Fournisseurs numériques 
• Recherche

Ce sujet vous intéresse et vous souhaitez plus d'informations sur le sujet ? Contactez notre juriste internationale, Audrey Vernier : [email protected]