Pour éclairer les enjeux juridiques et stratégiques de la directive NIS2, nous avons sollicité l’avis de notre partenaire avocat, Nicolas COURTIER, spécialiste du droit du numérique et de la cybersécurité.
Il revient sur une question essentielle : pourquoi il est crucial de commencer à appliquer NIS2 dès maintenant, sans attendre la loi française de transposition ?
NIS2 : une directive déjà en vigueur malgré le retard de transposition
La directive européenne NIS2, qui est entrée en vigueur, devait être transposée pour le 17 octobre 2024. La France, comme une dizaine d’autres pays européens, accuse un retard significatif mais cela ne signifie pas pour autant que les entreprises doivent en profiter pour différer leur préparation.
Plusieurs raisons militent pour une mise en conformité anticipée, avant même la loi de transposition. L’ANSSI encourage explicitement les organisations à ne pas attendre.
Des obligations déjà partiellement applicables
Certaines obligations fondamentales de la directive peuvent être considérées comme ayant déjà un effet, tout simplement car elles ne font que reprendre des obligations déjà existantes.
Bien qu’une directive européenne ne crée pas, avant sa transposition, d’obligations directes à la charge des opérateurs privés, certaines dispositions de NIS2 reprennent des exigences déjà présentes dans le droit français.
La responsabilité personnelle des dirigeants
La responsabilité personnelle des dirigeants en matière de cybersécurité de la directive NIS2, par exemple, ne s’active pas uniquement avec la transposition formelle mais s’inscrit dans le cadre plus large de l’obligation de diligence des dirigeants d’entreprise.
En droit français, cette obligation s’articule avec le devoir de vigilance et l’obligation de sécurité du dirigeant, ainsi qu’avec le principe de diligence raisonnable en matière de gouvernance.
Une continuité du droit français et européen
Les obligations de sécurité, de notification d’incident et de gouvernance existent déjà dans d’autres textes, tels que le RGPD, et constituent des obligations transversales, qui se retrouvent dans toutes les législations du numérique.
Ces convergences permettent de considérer que la mise en conformité anticipée avec NIS2 ne relève pas d’un simple volontarisme, mais s’inscrit dans la continuité du droit positif français et européen déjà applicable.
Des obligations évidentes mais à anticiper
De plus, certaines obligations réaffirmées ou précisées par NIS2 sont évidentes, telle que la déclaration des incidents importants.
Les mesures de ce type devront être mises en œuvre immédiatement ou très rapidement après l’adoption du texte de transposition, elles nécessitent d’être anticipées.
Anticiper la mise en conformité démontre cette diligence et peut constituer un élément de défense en cas de contentieux ultérieur.
Le coût de l’inaction face aux cybermenaces
D’ores et déjà, l’exposition aux cybermenaces constitue un risque majeur, il est aggravé lorsque les entreprises reportent leur mise en conformité. En 2023, près d’une entreprise française sur deux a connu une cyberattaque réussie.
Les mesures de NIS2 ne sont pas de simples obligations légales ou administratives mais constituent des garde-fous essentiels contre des menaces actuelles. Au-delà des sanctions réglementaires, la non-conformité génère des coûts opérationnels considérables.
Des conséquences économiques lourdes
Les coûts de remédiation post-incident, par exemple, incluent l’intervention d’experts externes, des heures supplémentaires de travail et l’acquisition de nouvelles solutions de sécurité dans l’urgence.
S’ajoutent à cela les pertes d’opportunités commerciales dues à l’interruption des services, la détérioration de la réputation et la perte de confiance des partenaires, ainsi que l’exclusion potentielle de chaînes d’approvisionnement exigeant la conformité NIS2.
Les attaquants ou les accidents de sécurité n’attendent pas, eux, la loi de transposition !
L’effet domino sur la chaîne de valeur
Les exigences des partenaires commerciaux représentent aussi un enjeu crucial. Les entreprises concernées par NIS2 devront exiger de leurs fournisseurs et sous-traitants des garanties de sécurité similaires à celles qu’elles doivent elles-mêmes respecter.
Ne pas anticiper peut donc conduire à une exclusion progressive de certains marchés ou partenariats de la part de ceux qui, dès maintenant, adaptent leur conformité aux obligations à venir.
Un avantage stratégique à anticiper
Au résultat, en plus des précautions que cela représente, il y a un avantage stratégique à une anticipation pour les organisations qui anticipent NIS2, en leur permettant de se démarquer sur leur marché, en démontrant leur maturité en cybersécurité.
Ce qui peut devenir un argument commercial face à des concurrents moins préparés.
Cela peut permettre de prévenir un risque de désorganisation et de déstabilisation des équipes.
Une opportunité d’optimisation et de modernisation
Il y a aussi l’opportunité d’une optimisation des investissements car une préparation progressive permet de les étaler et d’en optimiser les coûts. Les entreprises qui attendent risquent de devoir mobiliser des ressources importantes dans l’urgence, souvent à des conditions moins favorables.
La modernisation de la cybersécurité et l’adaptation à l’évolution des menaces doit être vue comme une opportunité et transformer la contrainte en avantage.
La conformité à NIS2 ne doit pas être perçue uniquement comme une obligation mais comme une opportunité de modernisation des systèmes d’information et de renforcement de la résilience organisationnelle.
Les obligations prioritaires à mettre en œuvre dès maintenant
Les obligations prioritaires à implémenter sont :
La gestion des incidents
Elle représente l’une des obligations les plus critiques concernant la capacité à détecter, notifier et gérer les incidents de cybersécurité dans des délais stricts. Cette obligation nécessite la mise en place de procédures formalisées et d’outils de supervision adaptés.
La gouvernance et la formation
Elles imposent une implication directe de la direction générale dans la gouvernance de la cybersécurité. Cette obligation inclut la formation des dirigeants et la mise en place de processus de supervision appropriés.
L’évaluation des risques
Elle exige des entreprises qu’elles développent une approche structurée de gestion des risques cyber, incluant l’identification des actifs critiques et l’évaluation des menaces.
Conclusion : anticiper NIS2, c’est protéger durablement son entreprise
En conclusion, adopter dès maintenant les mesures NIS2 permet de mieux protéger l’entreprise contre les cyberattaques et d’assurer la continuité de ses activités critiques.
Commencer la mise en conformité permet d’étaler les investissements et éviter une course lors de l’entrée en vigueur de la loi.
Une conformité anticipée démontre aux parties prenantes le sérieux de l’entreprise face aux cybermenaces et protège sa réputation en cas d’incident.
Les entreprises qui anticipent NIS2 seront mieux positionnées pour répondre aux exigences de cybersécurité de leurs clients régulés.
Et enfin, anticiper la conformité permet de minimiser les risques de sanctions lors des futurs contrôles de l’ANSSI et de démontrer sa diligence en cas de litige.
