NIS 2, c’est maintenant ! Faut-il avoir peur ?

Dans sa nouvelle chronique, Eric Barbry revient sur l’actualité du 18 octobre, date à laquelle la directive européenne NIS 2 devait être transposée dans chaque Etat membre. En la matière, la France est en retard, mais cela ne signifie pas que les prochaines semaines vont être tranquilles pour les entreprises. Alors, que regarder en priorité ?

Commençons cette chronique avec une question qui revient souvent : pourquoi faut-il craindre NIS 2 ?

Je me contenterai d’indiquer simplement la double raison suivante :

• D’abord, NIS 2 prévoit une amende administrative de 10M€ ou 2% du CA Mondial en cas de violation par des entités essentielles et 7M€ ou 1,4% du CA Mondial en cas de manquement pour des entités importantes ; Si le manquement affecte les données personnelles c’est le RGPD qui s’appliquera avec des sanctions encore plus lourde : 2 ou 4% – 10/20M€
• Ensuite, et c’est la raison la plus importante : la responsabilité des « organes de direction » et de certaines personnes physiques pourra être engagée, en plus de l’entité personne morale.

Il y a là, de quoi faire réfléchir les dirigeants les plus inconscients. Il suffit de leur faire lire les articles 20 et 32 de la directive :

Quand faudra-t-il avoir peur ?

En fait, depuis le 18 octobre 00h01, date à laquelle la directive est supposée être transposée dans chaque Etat membre. Et à ce jour sauf erreur ou omission, seules la Belgique, la Croatie et la Hongrie semblent avoir transposé la directive.

A la date de publication de cette chronique et après des mois de silence, un projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité (qui transpose notamment NIS2) a été présenté au Conseil des ministres du 15 octobre. Une étude d’impact de 874 pages (oui… 874 pages) a également été publiée.

Quoi qu’il en soit nous serons donc hors délai de transposition. Faut-il s’en réjouir ? Que nenni. Cela fait bien longtemps que l’on sait qu’en cas d’absence de transposition c’est le juge qui appréciera une situation « à la lumière » de la directive non transposée.

En résumé NIS 2 c’est maintenant !

Qui est visé par NIS 2 ?

C’est là que les problèmes commencent ! Car le texte propose un champ d’application à l’article 2, mais ne vise finalement que les entités essentielles ou importantes alors même que les annexes visent les « secteurs hautement critiques » et les « autres secteurs critiques »…

Vous êtes perdus ? C’est normal… Donc pour faire simple les secteurs visés sont les suivants :

« Secteurs hautement critiques »

Pour plus de détails, voir l’annexe I

« Autre secteurs critiques »

Pour plus de détails, voir l’annexe II

Il est donc impératif, comme première étape, de savoir si votre entreprise est soumise ou non à NIS2 et savoir se qualifier en « entité essentielle » ou « entité importante ».

Et pour nos amis DSI et RSSI qui se diraient : « Chouette je ne suis ni dans l’annexe I ni dans l’annexe II… » Faites attention, car NIS2, comme DORA, constitueront, à n’en pas douter, des référentiels de bonne pratique ; tout comme leurs traductions opérationnelles par l’Agence nationale de la sécurité des systèmes d’information (Anssi).

Quelles seront vos obligations ?

Dans les grandes lignes les obligations sont au nombre de 7.

La première consiste naturellement à mettre en œuvre les mesures de sécurité en fonction de l’exposition au risque. Il s’agit là de répondre aux exigences de l’article 21 « Mesures de gestion des risques en matière de cybersécurité ».

Mais NIS2 ne se contente pas d’imposer des mesures techniques. Il existe bien d’autres obligations que l’on peut synthétiser comme suit

Vous l’aurez compris, NIS2, c’est comme le RGPD ou DORA, un savoureux mélange : 1/3 techno – 1/3 organisation – 1/3 juridique.

Alors oui, lisez NIS2, et comme disent les Américains : « Keep cool & call your lawyer ».