La transposition de la directive NIS 2 en droit français conduira à des obligations renforcées en matière de cybersécurité pour les entreprises et à un renforcement des pouvoirs de l’ANSSI. Le retard pris dans l’adoption de ce texte ne doit pas différer, pour les entités concernées, l’anticipation des changements à venir et la sensibilisation en interne.
La directive UE n° 2022/2555 publiée le 14 décembre 2022 (NIS 2), marque une étape importante dans le renforcement de la cybersécurité au sein de l'Union européenne. Ce texte repose sur les fondements établis par la directive NIS 1 de 2016 mais ambitionne d’élargir le nombre d’entités concernées, de renforcer les exigences de sécurité et de gestion des risques et d’assurer une meilleure coopération entre les États membres de l'UE. En France, la transposition de cette directive qui devait intervenir au plus tard le 17 octobre 2024 a pris du retard, le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité (Résilience), déposé au Sénat le 15 octobre 2024, est toujours en cours d’examen.
Les objectifs du projet de loi Résilience
Le projet de loi Résilience est ambitieux puisqu’il transpose, en sus de NIS 2, deux autres directives européennes : la directive dite "REC" du 14 décembre 2022 sur la résilience des entités critiques et la directive du 14 décembre 2022 relative à la résilience numérique dans le secteur financier.
C’est le titre II du projet de loi qui est consacré à la transposition de NIS 2 et qui reprend à travers cinq chapitres les objectifs de la directive européenne :
- Élargir le champ d’application de NIS 1 : en intégrant davantage de secteurs et d’organisations.
- Renforcer la cybersécurité : en imposant des exigences plus strictes en matière de sécurité des réseaux et des systèmes d'information.
- Améliorer la coopération : en prévoyant, entre les États membres, des mécanismes de coordination plus efficaces en cas d'incident de cybersécurité.
Champ d’application : un élargissement des acteurs et secteurs régulés
Une des évolutions majeures de NIS 2 est l’élargissement de son champ d'application. En effet, NIS 2 s'inscrit dans un contexte où la dépendance aux technologies numériques n’a cessé de croître, rendant les infrastructures plus vulnérables aux cybermenaces. La première version de la directive NIS, entrée en vigueur en 2016, avait déjà jeté les bases d'une politique européenne de cybersécurité, mais concernait plus spécifiquement des acteurs stratégiques visés par des menaces principalement « étatiques ». La multiplication des cyberattaques, qui touchent désormais des acteurs de plus en plus nombreux, a rendu nécessaire une révision de NIS 1 et un changement de son échelle.
En France, cette extension se traduirait par « une augmentation estimée du nombre d'entités régulées de 500 à près de 15 000 », et « une augmentation du nombre de secteurs régulés de 6 à 18 »1. L’obligation de se conformer aux règles NIS 2 s’appliquerait ainsi à un nombre plus important d’entités, incluant :
- Les entités essentielles (article 8) qui reprennent en partie les entités déjà concernées par NIS 1 et relèvent de critères précis, par exemple : les entreprises appartenant à un des secteurs d’activité hautement critiques qui emploient au moins 250 personnes ou dont le chiffre d’affaires annuel excède 50 millions d’euros et dont le total du bilan annuel excède 43 millions d’euros.
- Les entités importantes (article 9), qui comprennent huit catégories et notamment : les entreprises appartenant à un des secteurs d’activité hautement critiques ou critiques qui ne sont pas des entités essentielles et qui emploient au moins 50 personnes ou dont le chiffre d’affaires et le total du bilan annuel excèdent chacun 10 millions d’euros ; les opérateurs de communications électroniques ou les prestataires de services de confiance qui ne sont pas des entités essentielles.
L‘adoption de loi Résilience permettra aussi, conformément à NIS 2, de prendre en compte les acteurs de la chaîne d'approvisionnement. En effet, la directive met un accent particulier sur la protection des relations avec les fournisseurs et les sous-traitants, qui représentent souvent une porte d’entrée pour les cyberattaques.
Vers un renforcement du rôle de l’ANSSI
Les articles 11 à 17 du projet de loi simplifient le cadre juridique existant en établissant un socle de règles harmonisé pour les différentes entités, et adapté à chaque niveau de menace et aux spécificités sectorielles.
Les entreprises françaises seront notamment soumises aux obligations suivantes :
- Obligation de communication à l’ANSSI de certaines informations (article 12).
- Mise en œuvre des mesures techniques, opérationnelles et organisationnelles garantissant, pour leurs réseaux et leurs systèmes d’information, un niveau de sécurité adapté et proportionné au risque existant (article 14).
- Notification sans délai des incidents de sécurité significatifs à l’ANSSI (article 17).
Les modalités de mise en œuvre de ces obligations, par exemple le type d’information à communiquer, le délai de notification, seront précisées par décret.
Cette approche, qui implique une gestion proactive des risques, incitera les entités à évaluer en permanence leurs vulnérabilités, à renforcer la résilience de leurs systèmes et à mettre en place des plans de continuité d’activité en cas d'incident majeur.
Quelles sanctions ?
Les manquements aux obligations visées ci-dessus donneront lieu à des amendes administratives (article 37) dont les montants sont ceux fixés par NIS 2 :
- A l’encontre des entités essentielles : une amende maximale de 10 millions d’euros ou égale à 2 % du chiffre d’affaires annuel mondial ;
- A l’encontre des entités importantes : une amende maximale de 7 millions d’euros ou égale à 1,4 % du chiffre d’affaires annuel mondial.
Le montant des amendes est dissuasif. Il vise à inciter les entreprises à adopter des mesures robustes pour protéger leurs systèmes contre les cyberattaques, d’autant que des audits de sécurité réguliers de l’ANSSI pourront avoir lieu (article 29). A noter que le coût de ces mesures de contrôle sera à la
charge des personnes contrôlées, ce qui peut s’expliquer par le fait que ces audits ne seront pas systématiques mais « ciblés » et « en cas d’incident important ».
Les impacts de la transposition de NIS 2 : comment s’y préparer ?
Bien que le texte suive une procédure accélérée, son examen en séance publique n’est programmé que les 11 et 12 mars 2025 et les décrets d’application n’en sont qu’au stade préparatoire. Ce retard significatif sur la date officielle prévue par la directive européenne pour la transposition en droit national ne doit cependant pas amener les entreprises à sous-estimer le défi de la transposition de NIS 2 en termes de conformité et d’adaptation des pratiques.
Les entreprises, en particulier les petites et moyennes entreprises (PME), devront désormais prendre en compte des mesures de cybersécurité adaptées à leur taille et à leur niveau de risque. Cela implique de prévoir des investissements pour mettre en œuvre les nouvelles mesures de sécurité, renforcer la formation de leur personnel en matière de cybersécurité, et d’améliorer leurs mécanismes de notification et de gestion des incidents.
Les défis sont nombreux et le retard dans la transposition du texte européen offre aux entreprises un délai supplémentaire bienvenu pour s’y préparer.
1 Exposé des motifs, Texte n° 33 (2024-2025) Résilience des infrastructures critiques et renforcement de la cybersécurité
Article publié dans Option finance le 10/03/2025
