La directive NIS2, ou directive européenne sur la sécurité des réseaux et des systèmes d’information, applicable au plus tard en octobre prochain, va profondément transformer les organisations en matière de cybersécurité, à commencer par la responsabilité des dirigeants, qui pourra être engagée en cas de manquements. Plus de 20 000 nouvelles entités devraient être concernées par ce texte, dont les collectivités territoriales.
« La responsabilité des dirigeants pourra être engagée en cas de manquement à la cybersécurité, » relève Michel Séjean, Professeur des Universités à Paris 13, spécialiste du droit de la cybersécurité et du droit comparé, à l’occasion d’une intervention le 10 avril devant le GACYB Bretagne, groupement des acteurs en cybersécurité dans le 29.
Le projet de loi de transposition de la directive, concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, est en cours. La future loi renforce la cybersécurité des principaux acteurs des secteurs stratégiques français et européens.
Le nouveau cadre sera mis en place d’ici la fin de l’année. Il change de paradigme en passant d’une logique de mise en place de moyens à une obligation réglementaire et légale, complétant le RGPD. Surtout, il rend désormais responsable le dirigeant.
Les dirigeants doivent veiller à la cybersécurité
La responsabilité des dirigeants en cas de manquement à la mise en place de la cybersécurité pourra être poursuivie. Dans la transposition de la Directive en droit national, la France doit veiller à « ce que ces personnes physiques puissent être tenues responsables des manquements à leur devoir de veiller au respect de la présente directive. En ce qui concerne les entités de l’administration publique, le présent paragraphe est sans préjudice du droit national en ce qui concerne la responsabilité des agents de la fonction publique et des responsables élus ou nommés.«
Des sanctions élevées
Les sanctions seront lourdes. La gamme répressive va de l’amende pouvant atteindre 10 millions d’euros ou 2 % du CA, en passant par la suspension d’exercice de la fonction jusqu’à la peine d’emprisonnement.
Le futur texte doit « prévoir une responsabilité pénale ou civile à l’égard des personnes physiques chargées de veiller à ce qu’une entité se conforme à la présente directive pour les dommages subis par des tiers du fait d’une violation de la présente directive« .
L’autorité compétente « pourra demander aux organes compétents ou aux juridictions compétentes, conformément au droit national, d’interdire temporairement à toute personne physique exerçant des responsabilités dirigeantes à un niveau de directeur général ou de représentant légal dans l’entité essentielle d’exercer des responsabilités dirigeantes dans cette entité. »
Suivre une formation
Les dirigeants soumis à NIS 2 seront ainsi les garants de la cyber-résilience de leur structure. Ils devront par ailleurs suivre une formation pour comprendre et intégrer les enjeux dans l’ensemble de leurs activités.
Le législateur français doit inscrire « que les membres des organes de direction des entités essentielles et importantes soient tenus de suivre une formation et ils encouragent les entités essentielles et importantes à offrir régulièrement une formation similaire aux membres de leur personnel afin que ceux-ci acquièrent des connaissances et des compétences suffisantes pour déterminer les risques et évaluer les pratiques de gestion des risques en matière de cybersécurité et leur impact sur les services fournis par l’entité.«
NIS 2 élargit les règles de cybersécurité à 18 secteurs économiques différents identifiés dans l’annexe de la directive.
De nombreux textes en cours
Une autre directive sur la résilience opérationnelle numérique du secteur financier, dite « directive DORA », qui doit être transposée d’ici le 17 janvier 2025 et concerne de nombreux acteurs également.
Enfin, une autre directive sur la résilience des entités critiques, dite « directive REC », doit être transposée d’ici le 17 octobre 2024. Ce raz-de-marée réglementaire révèle des enjeux de financements, d’accompagnement et de proportionnalité.
Les entités après avoir vérifiées qu’elles sont concernées et s’être autodésignées (voir le portail NIS2 ci dessous), doivent rapidement anticiper et prendre les mesures appropriées et proportionnées pour gérer les risques cyber dans le cadre de leurs activités ou fournitures de leurs services.
Les entreprises doivent agir rapidement pour éliminer ou réduire les conséquences en cascade des cyberattaques auprès des tiers et vérifier les prestataires et sous-traitants.
Les entreprises visées devront mettre en œuvre diverses mesures afin d’analyser correctement les risques cyber et de les gérer correctement en cas d’incidents. Elles devront veiller à la préparation des dispositifs en cas de crise cyber, s’assurer de la continuité des activités et de la sécurité de la chaîne d’approvisionnement, y compris les relations entre chaque entité tierce (fournisseurs, prestataires de services…). Un programme de formation continue à la cybersécurité en interne devra être mis en place rapidement.
Faites le test pour vérifier si vous êtes soumis à NIS2
L’ANSSI, en collaboration avec la Dinum, a lancé un portail dédié à la directive NIS2, offrant une manière rapide et intuitive de déterminer si votre organisation est soumise à cette directive. En seulement quelques clics, cet outil évalue votre situation.
Le portail a également pour objectif de fournir des informations et un soutien dans la mise en conformité et offrira la possibilité de dialoguer directement avec l’ANSSI.
MonEspaceNIS2 est en version bêta pour le moment. Le test est dans un premier temps focalisé sur les entités établies en France, il sera par la suite disponible pour celles établies dans les autres États de l’Union Européenne et dans les États hors Union Européenne. Il est également focalisé sur les entreprises privées ou publiques. Les administrations publiques viendront ensuite.
Patrice Remeur
