« Etes-vous concerné par la directive NIS 2 ? » Tel était le thème de la ‘Matinale RSM’ organisée le vendredi 14 mars, en vue d’éclairer les entreprises sur l’évolution du cadre réglementaire relatif à la couverture de problématiques de cybersécurité. Décryptage des principales dispositions de ce texte tout aussi majeur que complexe à appréhender avec Serge Maury, Manager Transformation & Risk IT.
La directive européenne NIS 2, publiée au Journal officiel de l’Union européenne en décembre 2022, est arrivée début mars 2025 devant le Sénat pour une transposition en droit français. Mais en quoi bouleverse-t-elle la réglementation relative à la cybersécurité ?
Cette directive s’inscrit dans le prolongement de celle qui remonte à 2016, NIS 1, et même s’il faut encore attendre précisément les contours du texte qui sera adopté en France par le Parlement, elle induit un changement majeur : alors que 300 entités françaises étaient concernées par le texte précédent, elles devraient être près de 20 000 avec NIS 2. A l’échelle européenne, ce sont près de 150 000 entreprises qui seront d’ailleurs en prise directe avec cette nouvelle réglementation. Si, à titre d’exemple, elle s’applique aux entreprises de plus de 50 salariés et réalisant plus de 10 millions d’euros de chiffre d’affaires dans dix-huit secteurs d’activité spécifiques, les critères d’éligibilité peuvent en réalité être plus larges et complexes. Ils varient selon plusieurs facteurs, tels que la nature des activités exercées, l’impact environnemental ou encore les chaînes d’approvisionnement, rendant nécessaire une analyse approfondie pour déterminer si une entreprise est concernée.
Derrière cette évidente montée en puissance, il convient surtout de voir la réponse structurée par l’Union européenne face aux attaques de cybersécurité, dont chacun a pu constater la multiplication. En la matière, l’Europe fait office de cible privilégiée ; pour autant, la directive NIS 2 ne cherche pas à faire en sorte d’éviter les cyberattaques, mais de structurer un dispositif devant permettre d’en réduire les impacts. C’est assez nouveau : on se pose moins la question de comment minimiser les risques, mais bien d’établir la meilleure façon de « survivre » à une intrusion extérieure malveillante en disposant de moyens de résilience forts. Voilà pourquoi le texte concerne un spectre plus large d’intervenants : à la façon de ce qui a été retenu pour le RGPD, il s’intéresse à l’ensemble des parties prenantes de l’entreprise et des sous-traitants critiques (tels les fournisseurs en lien avec les systèmes d’information, y compris les prestataires de services tiers – i.e. sous-traitants de sous-traitants) et non plus seulement à leurs utilisateurs.
Dernière nouveauté, et non des moindres : tout manquement à NIS 2 pourra donner lieu à des sanctions pénales visant les dirigeants d’entreprise. Mais, là encore, il faut attendre de voir où le Parlement français placera le curseur…
Pourquoi avoir élargi le spectre des entités concernées aux PME ?
Il s’agit surtout de répondre de façon pragmatique au fait que, dans les domaines d’activité concernés, il existe bon nombre de petites entreprises extrêmement performantes, mais nécessitant d’être sécurisées. Au même titre que les grands groupes et les ETI, les entreprises ont effectivement besoin d’un accompagnement à la fois technique et organisationnel pour mettre en place les mesures de cybersécurité prévues par la directive NIS2. Cet accompagnement ne se limite pas à l’implémentation de solutions techniques, mais inclut également la structuration de l’organisation interne, en intégrant une dimension juridique. Il est essentiel de tenir compte de cette nécessaire réorganisation des processus et des responsabilités au sein de l’entreprise, afin de garantir une gestion efficace de la cybersécurité, tout comme cela a été fait pour la mise en conformité avec le RGPD. Cela implique de revoir les processus, d’assurer une gouvernance claire et de garantir que tous les acteurs au sein de l’entreprise soient alignés sur les objectifs de sécurité.
Dans le cadre de NIS 2, l’organe de référence sera l’ANSSI (Agence nationale de la sécurité des systèmes d’information) auquel il sera impératif de rendre compte de la mise en place des mesures, de notifier dans les 72 heures un événement important en termes de cybersécurité, etc. Tout cela sera extrêmement suivi, même si l’on sait déjà qu’il n’y aura pas de contrôles pendant une période « d’adaptation » de trois ans, afin de permettre d’atteindre un niveau d’excellence. Attention, toutefois : si l’on subit une attaque cyber alors qu’aucun dispositif n’a été mis en place depuis octobre 2024, les juges peuvent appliquer la directive comme ils l’entendent.
Voilà pourquoi nous continuons de sensibiliser les entreprises et leurs dirigeants, car la mise en application de NIS 2 trouve un écho direct dans la structure des organisations. Ainsi, de façon concrète, il est frappant de voir que celles-ci n’exploitent souvent pas les moyens dont elles disposent, en sensibilisant par exemple leurs salariés sur la nécessité d’adopter une politique stricte de gestion des mots de passe – que l’on trouve encore trop souvent écrits sur des post-it™ –, sur l’utilisation de logiciels obsolètes, sur la mauvaise gestion des habilitations ou encore sur le partage de fichiers non sécurisés… sans parler de la gestion des e-mails. Les risques cyber proviennent très généralement de failles liées aux usages internes…
Et comment gérer ces questions dans le temps ?
Le calendrier itératif adopté par l’Union européenne est très clair. Après une mise en application en octobre 2024, NIS 2 fera l’objet de nombreux points d’étape. Ainsi, à compter d’avril 2025, la liste des entités concernées sera mise à jour tous les deux ans. De la même façon, dès juin prochain, les notifications d’incidents donneront lieu à un suivi et une évaluation des mesures prises tous les deux ans, de sorte à capitaliser dans le temps et gérer tout risque systémique. Ensuite, en octobre 2026, un bilan sera dressé pour identifier les lacunes et les améliorations à envisager. Enfin, la date du troisième anniversaire sera l’occasion d’évaluer la pertinence du cadre mis en place à la lumière de tout ce qui aura été analysé pendant la période, en vue d’une éventuelle modernisation.
A l’échelle des entreprises, cela suppose donc un suivi poussé et méthodique. En particulier, l’article 20 de la directive impose la mise en place d’une gouvernance adéquate pour se conformer à NIS 2 – sachant que le traitement des problématiques de la directive ne sont pas dévolues à un interlocuteur dédié, comme dans le cas du DPO pour le RGPD. Au vu de la complexité du sujet, certaines entreprises pourraient donc se trouver démunies, surtout si elles ne disposent pas de compétences juridiques spécifiques.
Enfin, il leur faut avoir à l’esprit que l’article 21 de NIS 2 dresse une liste de mesures obligatoires, ayant notamment des conséquences sur la façon dont il sera nécessaire de revoir les contrats conclus avec les fournisseurs et les sous-traitants informatiques. Doit-on tout auditer ? Tout revoir ? Comment établir des avenants qui contractualisent les relations en conformité avec NIS 2 ? Autant de questions de grande importance, qui devront être appréhendées grâce à une approche à la fois technique et juridique.
