NIS2 n’est plus un sujet de veille réglementaire. La directive est transposée. Surtout, son périmètre englobe environ 15 000 entités en France, contre quelques centaines pour NIS1. Ainsi, beaucoup de dirigeants découvrent qu’ils sont concernés, parfois à l’occasion d’un questionnaire client ou d’une opération M&A. Voici comment savoir où vous en êtes, et quoi faire ensuite.
Qui est concerné par NIS2 ?
La directive distingue deux catégories : les entités essentielles et les entités importantes. Elles se répartissent sur 18 secteurs, de l’énergie à la santé, en passant par le numérique, l’agroalimentaire, les transports ou l’administration publique. Deux critères comptent. D’abord la taille : à partir de 50 salariés ou 10 millions d’euros de chiffre d’affaires pour la plupart des secteurs. Ensuite la nature de l’activité, car certaines entités sont désignées quelle que soit leur taille.
Un point est souvent négligé. En effet, la directive touche aussi par ricochet les fournisseurs et sous-traitants des entités régulées. Leurs clients leur imposent alors des exigences de sécurité par contrat. Ainsi, vous pouvez être concerné par NIS2 sans y être juridiquement assujetti.
Quelles obligations ?
Les obligations s’articulent autour de trois blocs. D’abord, la gouvernance. Les organes de direction doivent approuver les mesures de gestion des risques cyber et en suivre la mise en oeuvre. Leur responsabilité peut même être personnellement engagée. Ensuite, les mesures de sécurité : analyse de risques, sécurité de la chaîne d’approvisionnement, gestion des incidents, continuité d’activité, chiffrement et contrôle d’accès, notamment. Enfin, la notification. Tout incident important déclenche une alerte précoce sous 24 heures, une notification sous 72 heures, puis un rapport final.
Quelles sanctions ?
La directive prévoit un régime de sanctions dissuasif. Il atteint jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires mondial pour les entités essentielles. Il descend à 7 millions ou 1,4 % pour les entités importantes. Toutefois, le risque le plus immédiat reste souvent commercial. En effet, un défaut de conformité fait perdre un appel d’offres ou un client donneur d’ordres.
Par où commencer ?
Commencez par une analyse d’assujettissement. Elle détermine si vous êtes dans le périmètre, dans quelle catégorie et pour quelles activités. Vient ensuite une analyse d’écarts au regard des exigences. Elle débouche sur un plan d’action priorisé : ce qui protège réellement d’abord, ce qui documente ensuite. Ainsi, la mise en conformité se pilote comme un programme, avec des jalons, des responsables et un reporting à la direction. Ce n’est pas un projet informatique de plus.
Un cas particulier mérite attention : les opérations M&A. En effet, si l’entité que vous acquérez ou cédez est dans le périmètre NIS2, la conformité s’applique dès le Day 1. Ainsi, le sujet doit figurer dans la due diligence et dans le plan de séparation ou d’intégration.
Ce qu’il faut retenir
NIS2 déplace la cybersécurité du terrain technique vers celui de la gouvernance. C’est désormais un sujet de COMEX, avec une responsabilité de direction. Bonne nouvelle, cependant : un socle bien construit répond à la fois à NIS2, à DORA pour le secteur financier et à ISO 27001. Et cela, sans tripler l’effort.