La France en retard pour la transposition de NIS 2 : que doivent faire les entreprises ?
Le 17 octobre prochain, la directive européenne NIS 2 entre en application. La France n'a toujours pas transposé le texte.
Le député EPR Philippe Latombe, spécialisé en droit du numérique, se dit inquiet. La loi de transposition de NIS 2 n'aura pas lieu en France avant le 17 octobre prochain, jour de l'entrée en application du texte européen. La dissolution de l'Assemblée nationale est passée par là mais le texte, qui était déjà prêt, n'a jamais été déposé en Conseil des ministres. Et la rentrée parlementaire n'apparait pas comme focalisée sur le sujet...
"Qui au gouvernement s'occupe de ce dossier ?", s'inquiète le député, "ce n'est pas le COMCYBER ni le ministère de l'Economie et des Finances. Et, regrette-t-il, la nouvelle secrétaire d'Etat chargée de l'Intelligence artificielle et du Numérique est rattachée à l'Enseignement supérieur et à la Recherche qui ne dépend plus de Bercy".
La crainte du député est que la France ne finisse par rédiger "un texte balai en fin d'année". Il dit aussi "avoir peur que ces dossiers passent par les compagnies d'assurance", une mauvaise idée selon lui.
"Nis2 est un big bang de la cybersécurité", rappelle Jérôme Derouvroy, directeur technique de Nomios. Inédite, la directive devrait concerner près de 30 000 entreprises françaises de dix-huit secteurs d'activité, réparties entre "entités essentielles" (EE) et "entités importantes" et les oblige à renforcer leur niveau de cybersécurité. En dépit de quoi, des lourdes sanctions sont prévues : les EE sont par exemple soumises à des amendes administratives d'un montant pouvant s'élever à 10 millions euros ou "2% du chiffre d'affaires annuel mondial total de l'exercice précédent de l'entreprise à laquelle l'entité essentielle appartient, le montant le plus élevé étant retenu" (Article 34-5). Des sanctions pénales sont également introduites comme une interdiction temporaire de l'exercice de fonctions de direction.
La question des sous-traitants se pose aussi : chaque dirigeant se doit de vérifier s'ils sont éligibles à NIS 2, ce qui pourrait augmenter le nombre d'entreprises concernées par la loi.
"Tant que la loi n'est pas passée, relativise Pascal Le Digol, country manager de WatchGuard, les entreprises ne peuvent pas être sanctionnées. Il s'agit d'un simple décalage dans le temps".
En attendant le décret d'application de la future loi, le conseil des experts aux sociétés, des ETI aux groupes du CAC40, est de se préparer à la mise en conformité européenne. A la lecture de l'article 21 -2 de NIS 2, Jérôme Derouvroy observe que les dix mesures correspondent "peu ou prou au contenu de la norme ISO 27.001", certification internationale qui définit les exigences pour la mise en place d'un Système de Management de la Sécurité de l'Information (SMSI). Il conseille donc de se préparer à NIS 2 en regardant cette norme parce qu'il y aura une présomption de conformité à partir du moment où l'entreprise aura cette certification 27.001".
Le retard de la France pour transposer NIS 2 ne pèsera pas seulement sur les entreprises mais aussi sur l'Etat : Pascal Le Digol pointe l'article 7-1h qui porte sur l'obligation d'un plan "comprenant les mesures nécessaires en vue d'améliorer le niveau général de sensibilisation des citoyens à la cybersécurité". L'expert compte sur cette obligation de formation, notamment celles des dirigeants d'entreprise, "qui ont du mal à concevoir que la cybermenace évolue sans cesse" et qu'il est indispensable de réactualiser leur cybersécurité.