NIS 2 n'entrera pas en vigueur le 17 octobre en France, mais vous devrez peut-être la respecter avant sa mise en place effective
La France tarde à transposer la directive NIS 2, mais des pays européens l'ont déjà intégrée. Pour collaborer avec nos voisins européens, certaines entreprises vont devoir se mettre à niveau.
Cette date est partout : le 17 octobre, chaque État membre de l’UE devra avoir transposé la directive NIS 2 dans sa législation nationale. Ce ne sera pourtant pas le cas en France dans les prochains jours. Pour cause, avec la dissolution de l’Assemblée nationale, le texte n’a pas encore été déposé en Conseil des Ministres. La France aura jusqu’au 17 janvier 2025 pour informer la Commission européenne des règles et mesures adoptées, et jusqu’au 17 avril 2025 pour déposer la liste des entreprises concernées par cette réglementation. Pour les entreprises françaises, cela signifie une vraie mise en conformité qui ne sera effective que d’ici...1 an.
Une fois ces étapes franchies, NIS 2 deviendra alors une réalité pour des milliers d’entreprises françaises. Pour certaines, cependant, la nouvelle ère commence plus tôt. Alors que la majorité des 27 États membres n'a même pas entamé le processus de ratification, la Belgique, la République Tchèque et la Hongrie ont déjà adopté des lois qui entreront en vigueur le 18 octobre.
Les entreprises opérant dans ces pays européens devront donc se conformer aux règles de cybersécurité qui s'y appliquent, quel que soit leur siège social. Cela inclut également la transposition nationale de la directive comprenant les mesures d'évaluation des risques, les obligations de déclaration en cas d'incidents de sécurité et les exigences en matière de sécurité informatique. Même si la directive s'applique dans toute l'UE, les mises en œuvre nationales peuvent contenir des exigences différentes ou des réglementations supplémentaires qui s’appliquent à toutes les entreprises concernées.
Étant donné que la directive se concentre également sur la sécurité de la chaîne d'approvisionnement, les entreprises en dessous de certains seuils - par exemple, les prestataires ayant un accès direct à l’infrastructure des Entités Importantes (EI) et les Entités Essentielles (EE) - peuvent également être affectées. Les exigences de conformité s'étendront à l'ensemble de la chaîne de valeur et auront un impact direct, et indirect, sur les entreprises.
Une Europe à 27 vitesses
Comme la France, d'autres grandes économies telles que l'Italie et l'Espagne n'ont toujours pas annoncé de calendrier précis. Toutefois, ces pays qui tardent à se mettre en ordre de marche pourraient faire l'objet de procédures d'infraction de la part de la Commission européenne voire être sanctionnées par des amendes. Un exemple connu est celui de la Belgique, qui a été condamnée en 2017 à une amende forfaitaire de 5 millions d'euros et à une pénalité journalière de 12 000 euros pour avoir tardé à mettre en œuvre la directive européenne sur les déchets. Dans ce contexte, on peut s'attendre à ce que la ratification s'accélère au cours de l'année à venir et que de plus en plus de pays instaurent leur propre législation.
Pour les entreprises, la mise en place dès à présent des mesures pour se conformer à la directive NIS 2 n’a que des avantages : elle permet d’anticiper sur des actions qui seront de toute manière obligatoires dans un an, mais permet aussi aux entreprises de collaborer sans attendre avec les pays qui l’ont déjà adoptée, comme la Belgique, la République Tchèque et la Hongrie. Étant donné que cette liste ne fera que croître durant cette année, les entreprises qui ne respectent pas la réglementation prennent le risque de fermer la porte à des opportunités commerciales importantes avec nos voisins européens.
Au-delà de ces opportunités, la directive NIS 2 est avant tout une mesure de protection. L'implémenter dès maintenant, c’est se protéger contre les cyberattaques et augmenter la cyber résilience des entreprises.