N'ayons pas peur de NIS2 !

Pour les entreprises européennes, la directive NIS 2 n'est ni une case à cocher ni un épouvantail. C'est l'opportunité de renforcer la sécurité du marché intérieur.

La prochaine mise en œuvre de la directive européenne NIS 2 va marquer une date importante dans la sécurisation des activités économiques au sein du marché unique européen. C’est un texte important parmi les briques fondatrices de la confiance numérique en Europe, aux côtés du Cyber Resilience Act (CRA) et du Digital Operational Resilience Act (DORA). NIS 2 concerne environ 10 000 entités françaises (200 000 en Europe) dans 18 secteurs d’activités. Comme on le sait, ses principales dispositions concernent la mise en place de mesures techniques, opérationnelles et organisationnelles proportionnées en matière de cybersécurité, de suivi des incidents, d’information des autorités compétentes. Et les entreprises doivent s’assurer que leurs prestataires de services tiers respectent bien leurs obligations en matière de cybersécurité.

En France, la transposition de cette directive devait intervenir le 18 octobre. La dissolution de l’Assemblée nationale est passée par là, et le Gouvernement vient à peine de présenter le projet de loi relatif à la « résilience des infrastructures critiques et au renforcement de la cybersécurité », qui permet de transposer les trois directives européennes visant à renforcer les dispositifs nationaux de sécurisation des activités d’importance vitale et de lutte contre les menaces cyber.

Un nouveau monde de l’action

Au demeurant, quelle que soit la date d’adoption du projet de loi et de la transposition officielle de NIS 2, cette directive nous fait entrer dans un monde nouveau, celui de l’action et de la décision. Jusqu’à maintenant, les dirigeants d’entreprise avaient bien pris conscience de l’importance du risque cyber, mais la définition et la mise en œuvre des dispositifs pour le combattre étaient sujettes à interrogations, s’agissant notamment des compétences à mobiliser et des investissements à y consacrer.

La voie est désormais ouverte vers une mise à niveau des entreprises et l’atteinte d’un état de l’art qui leur permette de participer à la sécurité et à la résilience du marché intérieur européen, en se dotant d’un socle de cybersécurité pertinent leur permettant de se confronter à un sinistre majeur, le tout de façon proportionnée à la dimension économique de l’entreprise. C’est en se conformant à la directive NIS 2 que les entreprises françaises peuvent dès à présent collaborer avec les entreprises des Etats membres qui l’ont déjà transposée, à commencer par la Belgique.

Il ne faut donc ni craindre NIS 2 ni concevoir cette démarche comme une simple mise en conformité réglementaire. La conformité n’est pas une fin en soi, même si elle est nécessaire.

On pourrait objecter que l’Union Européenne a créé des complexités réglementaires supplémentaires, ce que les anglo-saxons appellent une « alphabet soup ». Mais face aux pressions géopolitiques, à la confrontation commerciale et technologique avec la Chine, à notre dépendance par rapport aux grands acteurs américains du numérique, à la multiplication d’actes de fraudes et de piratage des groupes de cybercriminels, garantir la stabilité et la résilience de notre tissu économique est essentiel.

Plus la cybercriminalité augmente, plus montent les risques de disruptions dans cette dorsale numérique autour de laquelle s’organise la vie des entreprises mais aussi celle des citoyens. NIS 2 est un pan indispensable du « dôme de fer » qui doit nous protéger.