La mise en conformité avec NIS2 représente un défi majeur pour les entreprises, tant sur le plan financier que réglementaire. Avec des sanctions importantes à la clé, cette directive nécessite un plan structuré incluant audits, mesures de sécurité et formations adaptées aux nouvelles obligations européennes, des formations qui doivent aussi s’imposer aux dirigeants.
La directive NIS 2, publiée au Journal Officiel de l’Union européenne en décembre 2022, représente une avancée significative dans la réglementation de la cybersécurité au sein de l’UE. Elle entre en application en octobre 2024. Elle continuera de s’appliquer aux domaines déjà touchés par la directive NIS 1 (comme les établissements de santé, les banques et les transports), tout en s’étendant à de nouveaux secteurs d’activité tels que les administrations publiques, les télécommunications, les plateformes de réseaux sociaux, les services postaux, et même le secteur spatial.
Plus globalement, la directive NIS2 s’adresse aux entreprises de plus de 50 salariés réalisant plus d’un million d’euros de chiffre d’affaires dans les secteurs concernés, ainsi qu’à leurs prestataires. Au total, ce sont plusieurs milliers d’entreprises, allant des PME aux grandes entreprises du CAC40, qui devront se conformer aux directives de cette nouvelle régulation.
Une directive indispensable mais complexe à mettre en place
Cette nouvelle directive est complexe d’un point de vue technique, financier et règlementaire. En premier lieu, elle impose des mesures de sécurité plus strictes pour protéger les données de valeur de l’entreprise et des obligations de reporting renforcées. Elle concernera également des ETI et des PME dont beaucoup n’ont pas forcément anticipé les moyens financiers requis pour entamer des chantiers de grande ampleur, ni les ressources nécessaires en interne.
D’autre part, les sanctions seront également particulièrement fortes avec une amende de 7 millions d’euros ou 1,4 % du chiffre d’affaires mondial d’une entreprise, pouvant aller jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires global. La responsabilité personnelle des dirigeants peut également être engagée avec des interdictions de gérer la société et des risques de poursuites.
Autre difficulté, et non des moindres, son application réglementaire. Tant que nous n’avons pas la transposition de la directive en droit français, nous ne savons toujours pas quelle seront les modalités de contrôle et de sanction en France. Pour les entreprises opérant dans plusieurs pays de l’Union Européenne, la transposition inégale de NIS 2 pose un défi de taille car elles doivent composer avec un cadre réglementaire fragmenté, où les obligations varient non seulement d’un pays à l’autre, mais aussi en termes de calendrier d’application.
Enfin, un aspect moins visible des implications de NIS 2 est que cela devrait contraindre l’accès aux appels d’offres des grands groupes. On peut anticiper que ceux-ci intègrent des conditions de conformité NIS 2 dans leurs politiques d’achat dans les années qui viennent, incitant ainsi de nombreuses ETI et PME sous-traitantes des secteurs ciblés par la directive à construire leur feuille de route NIS 2 sans attendre.
La nécessité d’une solide formation aux enjeux de NIS 2
Particulièrement complexe dans sa mise en œuvre, les dirigeants d’entreprise et leurs équipes auront donc besoin de toute l’aide disponible pour bien s’y préparer. Cet enjeu est d’autant plus important dans un contexte où la pénurie de talents dans le domaine de la cybersécurité fragilise un peu plus les dirigeants dans l’obtention des bonnes informations sur cette directive et la mise en conformité avec cette dernière.
Une formation efficace peut prendre la forme d’une feuille de route sur les différentes étapes à suivre pour accompagner la mise en conformité d’une entreprise. L’accompagnement peut s’étaler sur plusieurs mois, voire une période d’un à deux ans si nécessaire. Il peut inclure notamment la réalisation de certains types d’audits, la formation et la sensibilisation des collaborateurs, ainsi que la mise en place de solutions adaptées à l’activité de l’entreprise et à son architecture informatique en matière de détection et réponse aux incidents.
Les coûts financiers de chaque étape doivent également être évalués séparément afin que les RSSI puissent décomposer la démarche et ainsi la rendre plus intelligible aux yeux de leur direction notamment en termes de risques, de temps requis pour une mise en conformité optimale et d’investissements à planifier. Enfin, cette feuille de route permettra également aux RSSI de mieux comprendre leurs obligations et la démarche à suivre, ainsi que celles de leurs fournisseurs, et ainsi repenser efficacement leur stratégie cyber en planifiant leurs travaux sur le long terme.
Cette nouvelle directive NIS 2 en demande beaucoup aux entreprises et à leurs dirigeants. Pour réussir leur mise en conformité, il est très important qu’elles ne restent pas seules pour mener à bien les chantiers nécessaires, en particulier les PME et les ETI qui ne disposent pas toujours des ressources internes suffisantes pour une politique cyber optimale. Mais au-delà des moyens financiers ou technologiques investis c’est surtout la capacité des entreprises à s’entourer des bonnes personnes et des bons experts qui leur permettra de réussir leur mise en conformité.
_______________________________________
Par Vincent Poulbère, Directeur Général de SysDream