CONTACT

Cybersécurité & Directive NIS 2 – Votre entreprise y sera-t-elle soumise ?

02 février 2023 | Derriennic associés|

La Directive de 2016 sur la sécurité des réseaux et des systèmes d’information dite « NIS 1 » (pour « Network and Information System Security ») a été abrogée par la directive NIS 2, publiée au JOUE le 27 décembre 2022. Nos avocats en droit de la cybersécurité vous offrent leur expertise.

La directive NIS 1 avait pour objectif d’atteindre un niveau commun élevé de cybersécurité au sein de l’UE, et la directive NIS 2 ambitionne de renforcer ce niveau de cybersécurité grâce à un champ d’applicabilité élargi, une plus forte uniformisation des entités concernées au sein d’un même secteur et à des sanctions plus sévères. L’objectif, par la réglementation, est d’aider les entreprises à mettre en place des politiques et procédures robustes de lutte contre les cyber menaces.  

  • Ce qu’il faut retenir de cette nouvelle réglementation : 

Date d’entrée en vigueur : Le 16 janvier 2023, et à compter de cette date, elle prévoit un délai de 21 mois pour que chaque état membre de l’UE la transpose en droit national. Elle sera donc applicable en droit français au plus tard le 18 octobre 2024

Champ d’applicabilité :  

Cette Directive vous concerne si vous êtes : 

  1. Une entité privée ou publique (innovation de NIS 2) ; 
  1. Qui fournit ses services ou exerce son activité au sein de l’Union ;  
  1. Qui exerce dans l’un des secteurs listés aux annexes I et II de la Directive (son champ s’est élargi puisque le nombre des secteurs est passé de 19 à 35) -> par exemple, sont désormais concernés le secteur spatial, les eaux usées ou les administrations publiques ; et 
  1. Qui est de moyenne ou grande taille -> pour une entreprise, si elle emploie plus de 250 personnes et son chiffre d’affaires annuel excède 50 millions d’euros. 

OU qui correspond à l’un des cas spéciaux listés à l’article 2, paragraphe 2 de la Directive (ex : fournisseur de réseaux de communications électroniques publics). 

De manière globale, environ 600 entités seront concernées par la NIS 2 en France. 

L’entité concernée peut ensuite entrer dans l’une des deux catégories suivantes (mise en place ici d’un mécanisme de proportionnalité) étant précisé que ce sont les entreprises elles-mêmes qui devront s’auto désigner: 

  • Les entités essentielles (EE) : cette qualification est accordée à certains types d’entités notamment en raison de leur secteur d’activité hautement critique et de leur taille, ou encore parce qu’un état membre les a identifiées comme opérateurs de services essentiels (« OSE » qui aura donc vocation à disparaître) au sens de la Directive NIS de 2016. 
  • Les entités importantes (EI) : ce sont toutes les entités qui ne sont pas essentielles mais qui appartiennent aux secteurs identifiés par la directive ou qui ont été identifiées comme importantes par un état membre.  

L’ANSSI a précisé sur ce point qu’elle compte s’appuyer sur cette notion pour définir des exigences adaptées et proportionnées aux enjeux de chacune de ces catégories. 

Les obligations imposées : 

  • Une obligation de sécurité qui implique de mettre en place des mesures de sécurité pour protéger les réseaux et systèmes d’information contre les cybermenaces. Adoptant une approche dite « tous risques » la Directive dresse une liste de mesures minimales devant être mises en œuvre, qui comprend désormais notamment la sécurité de la chaîne d’approvisionnement. 
  • Une obligation de notification imposant aux entités concernées de notifier aux centres de réponses aux incidents de sécurité informatique (CSIRT) ou aux autorités compétentes (ANSSI), et aux destinataires de leurs services, les incidents qualifiés d’ « importants » selon les critères définis par la Directive. 
  • Une obligation d’accountability puisque les entités concernées devront être en mesure de démontrer leur respect à leurs obligations, un peu à l’image du RGPD.  

Les EE seront soumises à un régime de supervision renforcé ; elles pourront faire l’objet de mesures de contrôle à la fois ex ante (avant tout incident) et ex post (à la suite d’un incident), contrairement aux EI qui ne pourront être contrôlées qu’ex post, en présence de preuves ou d’informations suggérant qu’elles ne respectent pas la Directive. 

Les sanctions : 

Le non respect des obligations mentionnées ci-dessus pourrait alors être sanctionné par des amendes administratives prononcées par les autorités compétentes nationales. 

Ces amendes peuvent aller jusqu’au montant le plus élevé entre : 

  • Pour les EE, 10 millions d’€ ou 2% du chiffre d’affaires annuel mondial 
  • Pour les EI, 7 millions d’€ ou 1,4% du chiffre d’affaires annuel mondial 

Au regard de ces éléments quelles seront les prochaines étapes que nous vous recommandons de suivre : 

  1. Déterminez si vous êtes concerné par la Directive NIS 2 ; 
  1. Evaluez les règles et procédures au sein de votre entreprise et identifiez les lacunes (ex : notification d’incident dans les 72 heures) ; 
  1. Mettez à jour ces règles et procédures pour combler ces lacunes ; 
  1. Evaluez la conformité de vos sous-traitants et renforcez les mesures contractuelles si besoin ; 
  1. Formez vos organes de direction et vos employés sur la cybersécurité ; 
  1. Surveillez et examinez régulièrement les mesures applicables pour vous assurer que les changements ont été correctement mis en œuvre et qu’elles sont suffisantes ; 
  1. Être capables de notifier le CSIRT ou l’autorité compétente (ANSSI) en cas d’incident. 

Afin de vous mettre en conformité nous ne pouvons que vous inciter à lire les recommandations de l’ANSSI et par exemple son guide de la cybersécurité pour les TME/PME en 13 questions1

La directive NIS 2 n’étant pas encore transposée en droit français nous ne pouvons que vous recommander d’établir un rétro planning d’initiatives et de mise en conformité qui vous permettra d’ici à fin 2024 d’être en conformité. 

Dans un contexte où les risques cyber sont de plus en plus reconnus par les dirigeants et les conseils d’administration (25 % des entreprises ont leur organisation de sécurité rattachée au comité exécutif. * rapport enjeux Cyber de la société Deloitte de 2019) nous ne pouvons que vous inciter à vous lancer dans ce programme de mise en conformité. 

Le cabinet Derriennic et Associés reste à votre disposition pour vous accompagner sur ce sujet afin de cartographier les priorités et les actions à mener et notamment la sensibilisation des personnels grâce à nos formations « nous sommes tous en cyber risque ». 

articles similaires

| Derriennic Associés

Dispositifs médicaux et cybersécurité : des recommandations de l’ANSM

Le 23 septembre 2022, l’ANSM a publié des recommandations sur la « cybersécurité des dispositifs médicaux intégrant du logiciel au cours de leur cycle de vie ».            

| Derriennic Associés

L’UE prévoit de renforcer la cybersécurité des produits numériques matériels et logiciels

Le 15 septembre 2022, la Commission Européenne a présenté son projet de règlement « Cyber résilience Act ». L’objectif de ce texte est clair : il s’agit de renforcer le...

| Derriennic Associés

Véhicules à délégation de conduite, on avance !

Le 1er septembre 2022 entraient en vigueur plusieurs textes faisant avancer le développement des véhicules à délégation de conduite en France et en Europe.