Accueil Cyber AVIS D’EXPERT – Directive NIS2 et Transports : trois questions à… Sofia...

AVIS D’EXPERT – Directive NIS2 et Transports : trois questions à… Sofia Smirnova

Encore en cours de transposition en France, la directive NIS 2 laisse subsister des incertitudes sur son périmètre exact dans le transport routier. Pour Sofia Smirnova, DPO et responsable juridique du groupe GT Solutions, les entreprises ont toutefois intérêt à anticiper dès maintenant, tant leur activité dépend désormais de systèmes numériques critiques et de prestataires interconnectés.

Une analyse de Sofia Smirnova, DPO & Responsable juridique du Groupe GT Solutions
Co-animatrice du groupe de travail “Transports” au sein de l’AFCDP

Les opinions exprimées dans ce texte n’engagent que leur auteur

  1. Pourquoi la NIS 2 change-t-elle la donne dans le transport routier ?

Alors que la transposition de la Directive NIS 2 est en cours en France, ce texte européen renforce les exigences de cybersécurité dans les secteurs jugés essentiels ou importants pour l’économie et la société.

Elle s’applique aux entités publiques ou privées de 18 secteurs d’activité, dont le transport, dépassant des seuils d’effectifs, de chiffre d’affaires et de bilan prévus par la Directive.

Pour le transport routier de personnes ou de marchandises, une question revient souvent : sommes-nous réellement concernés ?

La question n’est pas encore totalement tranchée. Nous savons que la NIS 2 s’applique aux autorités routières, ainsi qu’aux Exploitants de Systèmes de transport intelligents (STI), remplissant les seuils fixés.

La définition des STI est clairement précisée et laisse comprendre qu’ils regroupent des outils numériques déjà très présents dans le secteur comme, des outils de gestion de circulation et de flotte, d’optimisation des tournées, d’éco-conduite, des TMS et d’autres solutions embarquées.

En revanche, la notion d’« Exploitant » n’est définie par aucun texte. Faut-il comprendre qu’il s’agit de nos entreprises qui utilisent ces outils au quotidien ? Ou uniquement des fournisseurs de telles solutions, qui les conçoivent, les exploitent techniquement ou les commercialisent ? Cette question n’est pas anodine : selon l’interprétation retenue, le nombre d’entreprises concernées pourrait varier sensiblement.

Cette incertitude ne doit toutefois pas masquer une réalité : les entreprises de transport sont de plus en plus dépendantes de leurs outils numériques. Une attaque informatique peut aujourd’hui perturber l’exploitation, immobiliser des véhicules, retarder des livraisons ou bloquer la facturation.

Le respect des obligations de NIS 2 permettrait de limiter le risque de ces incidents, mais impliquerait des investissements importants. Dans un secteur où les marges sont déjà contraintes, la question du coût de mise en conformité devient rapidement très concrète.

  1. Comment les transporteurs peuvent-ils se préparer dès aujourd’hui ?

Alors que la pression européenne s’intensifie avec une menace d’amende pouvant atteindre plusieurs dizaines de millions d’euros pour la France, la transposition de la Directive NIS 2 accumule un retard critique, son passage à l’Assemblée nationale étant de nouveau reporté à la rentrée.

Pour autant, les grandes exigences de la Directive sont déjà connues depuis plusieurs années. Elles reposent sur une logique de gestion des risques et de sécurité globale des systèmes d’information. Les entreprises peuvent donc engager les premiers chantiers sans attendre :

  • Le premier consisterait à identifier les systèmes critiques pour l’activité (outils RH, de planification, de gestion des actifs, contratèques, etc.), en vue de leur sécurisation.
  • Le deuxième serait de cartographier les prestataires en fonction de leur niveau de criticité pour l’entreprise, en vue de leur audit et sécurisation des prestations, car une grande partie des risques provient désormais de la chaîne d’approvisionnement.
  • Le troisième serait d’organiser la gestion des incidents : qui décide, qui alerte, qui communique, qui doit être informé, comment on assure la continuité des activités…

Cette anticipation permettrait aussi de lisser les investissements dans le temps, d’éviter une potentielle flambée des tarifs des prestataires si la transposition se concrétise à l’automne, et de préparer sereinement les équipes sans subir le stress de l’urgence.

Même pour les entreprises qui ne seraient finalement pas soumises à la NIS 2, ces travaux ne seraient pas perdus. Dans un secteur du transport hyper-connecté, où l’indisponibilité d’un système EDI ou de planification peut paralyser l’exploitation, ces travaux permettraient de sécuriser l’activité et constituer un gage de confiance majeur pour les donneurs d’ordres, qui peuvent être soumis à la Directive NIS 2 de leur côté.

  1. Le duo RGPD / NIS 2 : comment l’AFCDP accompagne-t-elle cette articulation ?

Le RGPD et la Directive NIS 2 sont étroitement liés car les incidents de cybersécurité ont souvent un impact direct sur les données personnelles. Une cyberattaque peut exposer des données relatives aux salariés, aux conducteurs, aux clients ou aux partenaires de l’entreprise. Le DPO, les juristes, les équipes informatiques et les RSSI ont donc intérêt à travailler ensemble.

C’est précisément l’objectif du groupe de travail « Transport » de l’AFCDP. Nous réunissons des profils très variés, ce qui permet de confronter les points de vue et de partager des retours d’expérience concrets sur les évolutions réglementaires du secteur.

Nous échangeons également sur les impacts concrets de la réglementation, comme la NIS 2. Dans certains cas, les travaux du groupe peuvent nourrir des contributions adressées à la CNIL pour obtenir son avis. L’objectif est de permettre aux professionnels de mieux comprendre leurs obligations et de les transformer en pratiques opérationnelles cohérentes avec le terrain.