Pour éclairer les enjeux juridiques et stratégiques de la directive NIS2, nous avons sollicité l’avis de notre partenaire avocat, Nicolas COURTIER, spécialiste du droit du numérique et de la cybersécurité.
Il revient sur une question essentielle : pourquoi il est crucial de commencer à appliquer NIS2 dès maintenant, sans attendre la loi française de transposition ?
NIS2 : une directive déjà en vigueur malgré le retard de transposition
La directive européenne NIS2, qui est entrée en vigueur, devait être transposée pour le 17 octobre 2024. La France, comme une dizaine d’autres pays européens, accuse un retard significatif mais cela ne signifie pas pour autant que les entreprises peuvent différer leur préparation.
Plusieurs raisons militent pour une mise en conformité anticipée et l’ANSSI encourage explicitement les organisations à ne pas attendre.
Pourquoi il est risqué d’attendre la loi française
Certaines obligations fondamentales de la directive peuvent être considérées comme ayant un effet direct car elles ne font que reprendre des obligations déjà existantes.
Cette responsabilité personnelle des dirigeants en matière de cybersécurité de la directive NIS2 ne s’active donc pas uniquement après la transposition formelle mais s’inscrit dans le cadre plus large de l’obligation de diligence des dirigeants d’entreprise.
Des obligations déjà présentes dans le droit français
En droit français, cette obligation s’articule avec le devoir de vigilance et l’obligation de sécurité du dirigeant, ainsi qu’avec le principe de diligence raisonnable en matière de gouvernance.
Bien qu’une directive européenne ne crée pas, avant sa transposition, d’obligations directes à la charge des opérateurs privés, certaines dispositions de NIS2 reprennent des exigences déjà présentes dans le droit français.
Ainsi, les obligations de sécurité, de notification d’incident et de gouvernance existent déjà leur fondement dans :
Ces convergences permettent de considérer que la mise en conformité anticipée avec NIS2 ne relève pas d’un simple volontarisme, mais s’inscrit dans la continuité du droit positif français et européen déjà applicable.
L’anticipation comme marque de diligence et de responsabilité des dirigeants
De plus, du fait de leur simplicité, certaines obligations réaffirmées ou précisées par NIS2 sont évidentes, telle que la déclaration d’incidents importants.
Les mesures de ce type devront être mises en œuvre immédiatement ou très rapidement après l’adoption des textes et elles nécessitent d’être anticipées.
Anticiper la mise en conformité démontre cette diligence et peut constituer un élément de défense en cas de contentieux ultérieur.
Les coûts de la non-conformité : un risque bien réel
D’ores et déjà, l’exposition aux cybermenaces constitue un risque majeur aggravé lorsque les entreprises reportent leur mise en conformité. En 2023, près d’une entreprise française sur deux a connu une cyberattaque réussie.
Les mesures de NIS2 ne sont pas de simples obligations administratives mais constituent des garde-fous essentiels contre des menaces actuelles.
Au-delà des sanctions réglementaires, la non-conformité génère des coûts opérationnels considérables.
Les coûts de remédiation post-incident incluent l’intervention d’experts externes, les heures supplémentaires et l’acquisition de nouvelles solutions de sécurité.
S’ajoutent à cela les pertes d’opportunités commerciales dues à l’interruption des services, la détérioration de la réputation et la perte de confiance des partenaires, ainsi que l’exclusion potentielle de chaînes d’approvisionnement exigeant la conformité NIS2.
Les exigences des partenaires et chaînes d’approvisionnement
Les exigences des partenaires commerciaux représentent aussi un enjeu crucial. Les entreprises concernées par NIS2 sont susceptibles d’exiger de leurs fournisseurs et sous-traitants des garanties de sécurité similaires à celles qu’elles doivent elles-mêmes respecter.
Ne pas anticiper peut donc conduire à une exclusion progressive de certains marchés ou partenariats.
Anticiper pour transformer la contrainte en avantage stratégique
Au résultat, il y a un avantage stratégique à une anticipation pour les organisations qui anticipent NIS2, en leur permettant de se démarquer sur leur marché, en démontrant leur maturité en cybersécurité.
Ce qui peut devenir un argument commercial face à des concurrents moins préparés.
Une conformité progressive pour optimiser les investissements
Il y a aussi l’opportunité d’une optimisation des investissements, car une préparation progressive permet d’étaler les investissements nécessaires et d’optimiser les coûts.
Les entreprises qui attendent risquent de devoir mobiliser des ressources importantes dans l’urgence, souvent à des conditions moins favorables.
La modernisation doit être vue comme une opportunité qui transforme la contrainte en avantage.
La conformité à NIS2 ne doit pas être perçue uniquement comme une obligation mais comme une opportunité de modernisation des systèmes d’information et de renforcement de la résilience organisationnelle.
Les obligations prioritaires à mettre en œuvre dès maintenant
Les obligations prioritaires à implémenter sont :
- La gestion des incidents, qui représente l’une des obligations les plus critiques concernant la capacité à détecter, notifier et gérer les incidents de cybersécurité dans des délais stricts. Cette obligation nécessite la mise en place de procédures formalisées et d’outils de supervision adaptés.
- La gouvernance et la formation, qui imposent une implication directe de la direction générale dans la gouvernance de la cybersécurité. Cette obligation inclut la formation des dirigeants et la mise en place de processus de supervision appropriés.
- L’évaluation des risques, qui exige des entreprises qu’elles développent une approche structurée de gestion des risques cyber, incluant l’identification des actifs critiques et l’évaluation des menaces.
Conclusion : anticiper NIS2, c’est protéger durablement son entreprise
En conclusion, adopter dès maintenant les mesures NIS2 permet de mieux protéger l’entreprise contre les cyberattaques et d’assurer la continuité de ses activités critiques.
Commencer la mise en conformité permet d’étaler les investissements et éviter une course lors de l’entrée en vigueur de la loi.
Une conformité anticipée démontre aux parties prenantes le sérieux de l’entreprise face aux cybermenaces et protège sa réputation en cas d’incident.
Les entreprises qui anticipent NIS2 seront mieux positionnées pour répondre aux exigences de cybersécurité de leurs clients régulés.
Et enfin, anticiper la conformité permet de minimiser les risques de sanctions lors des futurs contrôles de l’ANSSI et de démontrer sa diligence en cas de litige.
