Directive européenne NIS2 : un nouveau cap pour la cybersécurité des entreprises

NIS2, c’est le serpent de mer de la cybersécurité en France ! Cela fait des mois que la directive européenne « Network and Information Security » doit être transposée dans le droit français.

Malgré la date limite de transposition fixée au 17 octobre 2024 par la Commission européenne, la France joue les tortues. En cause, la valse des gouvernements depuis des mois. L’hexagone n’est pas le seul à traîner des pieds.

Une dizaine de pays (Suède, Portugal, Espagne, Pologne, Grèce…) est au même stade. Les bons élèves se comptent sur les doigts d’une main : Belgique, Italie, Lettonie, Hongrie, Lituanie l’ont transposé dès 2024.

Une telle situation est inquiétante, car NIS2 marque un tournant majeur dans la stratégie de cybersécurité du continent. Loin d’être une simple mise à jour, NIS2 est une refonte complète visant à renforcer la résilience des entreprises et des services essentiels.

L’une des principales faiblesses de la première directive NIS était son champ d’application trop restreint. NIS2 corrige le tir en ciblant un éventail plus large d’organisations. La directive s’applique désormais à toute entité, publique ou privée, qui opère dans l’un des nombreux secteurs critiques, et qui emploie plus de 50 personnes ou génère plus de 10 millions d’euros de chiffre d’affaires.

Elle introduit surtout une classification claire.

• Les « Entités Essentielles » (EE) : ce sont les piliers de notre économie et de nos sociétés. La liste inclut l’énergie, les transports, la banque, la santé, les infrastructures numériques et l’eau potable.
• Les « Entités Importantes » (IE) : cette nouvelle catégorie englobe des secteurs tout aussi vitaux, mais considérés comme moins critiques en cas d’interruption majeure. On y trouve la gestion des déchets, la fabrication de produits chimiques, l’industrie alimentaire, les services postaux, ou encore les grands sites de e-commerce.

Résultat, en France, environ 15 000 entités sont directement visées par NIS2, contre 300 sous NIS1.

Obligations claires et fortes amendes

NIS2 impose des obligations concrètes pour garantir un niveau de sécurité élevé. Les entreprises concernées doivent mettre en œuvre une série de mesures techniques et organisationnelles pour gérer les cyberrisques :

• mise en place de politiques de gestion des risques et de mesures techniques adaptées (pare-feu, segmentation réseau, chiffrement, etc.) ;
• surveillance continue des systèmes et détection précoce des incidents ;
• plan de réponse aux incidents et procédures de continuité d’activité ;
• formation et sensibilisation régulières des collaborateurs ;
• audit et évaluation régulière des dispositifs de sécurité.

Et si les entreprises ne les appliquent pas, la sanction sera lourde. Pour les EE, la non-conformité peut entraîner des sanctions allant jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires mondial de l’entreprise. Pour les EI, c’est 7 millions d’euros ou 1,4 % du chiffre d’affaires mondial.

Mais la sanction n’est pas que financière. La directive rend également les cadres responsables de la gestion des risques liés à la cybersécurité. En cas de non-respect grave des règles, ils peuvent se voir imposer des audits de sécurité, voire des interdictions temporaires d’exercer des fonctions de gestion.

En conclusion, NIS2 n’est pas juste une formalité réglementaire. En faisant de la cybersécurité une question de survie financière et de responsabilité de la direction, la directive vise à inciter les entreprises à passer du statut de cible passive à celui d’acteur proactif de leur propre résilience numérique.