Couverture du journal du 15/10/2024 Le nouveau magazine

Que change l’application de la directive NIS 2 pour les entreprises en matière de cybersécurité ?

Face à l’augmentation des cyberattaques à l’encontre d’entités publiques ou de sociétés insuffisamment préparées pour les éviter ou y réagir, l’Union européenne a choisi de renforcer la réglementation applicable avec l’adoption en 2022 de la directive dite « NIS 2 ».

Anne-Sophie Viard-Crétat, avocate associée, TGS France Avocats, et Cédric Duval, consultant cybersécurité, TGS France Consultants. DR

La protection contre les cyberattaques n’est donc plus une simple recommandation mais tend à devenir obligatoire. Cette directive s’inscrit dans la continuité de l’ancienne directive « NIS 1 » en renforçant le périmètre des entités concernées, les obligations et les sanctions applicables.


Lire aussi
Mon activité est-elle classée « ICPE » ? Classement et conséquences…


Pour être applicable en France, la directive « NIS 2 » doit faire l’objet d’une loi de transposition dont l’échéance a été fixée au 17 octobre 2024. À quelques jours de cette échéance, probablement en raison de l’actualité politique, la date d’adoption de la loi française n’est pourtant pas connue.

Il est encore temps de s’interroger sur l’application des obligations à votre structure voire à vos partenaires commerciaux.

La directive s’appliquera à plus de quinze mille collectivités territoriales, communautés de communes, administrations, entités publiques ou encore sociétés commerciales qui relèvent des seuils ou des dix-huit secteurs d’activité visées par la directive.

Les prestataires informatiques de ces entités seront donc particulièrement impactés par la directive NIS 2 pour rester compétitifs.

Les mesures à respecter en matière de cybersécurité seront largement renforcées et détaillées par l’Agence nationale pour la sécurité des systèmes d’information dans un référentiel. Les entités habituées à ce type de référentiels ou à la norme ISO 27001 (en matière de cybersécurité) n’y verront pas un bouleversement majeur de leurs process mais la documentation sera probablement à mettre à jour. Pour les autres, le tournant doit être anticipé au plus vite compte tenu de l’ampleur des obligations à respecter.

En effet, à titre d’exemple, les entités devront :

  • Gérer le contrôle des accès et habilitations aux différents logiciels et sécuriser leurs réseaux ;
  • Encadrer les relations contractuelles avec les prestataires et prévoir des audits effectifs réguliers ;
  • Auditer régulièrement les vulnérabilités de la structure ;
  • Détecter, répondre et notifier les incidents ;
  • Rédiger et appliquer des politiques de sécurité claires, robustes et conformes aux référentiels ;
  • Former et sensibiliser leurs salariés sur les bonnes pratiques en matière de cybersécurité. Cet investissement permet souvent de limiter les erreurs humaines à l’origine de cyberattaques et d’incidents de sécurité ou à tout le moins d’en atténuer les conséquences pour l’entité ;
  • Documenter précisément toutes ces actions pour en justifier en cas de contrôle.

Pour cela, il est nécessaire d’anticiper et de définir un plan d’actions structuré afin d’éviter des sanctions administratives telles que des amendes pouvant aller jusqu’à 10 M€ ou 2 % du chiffre d’affaires.

En toute hypothèse, nous ne pouvons que recommander à toutes les entités qu’elles soient concernées ou non par la directive NIS 2 d’appliquer ces bonnes pratiques de sécurité.

Publié par