NIS2 : un frein pour la compétitivité des entreprises ?

Après huit années de bons et loyaux services (2016-2024), la directive « Sécurité des réseaux et de l’information », dite « NIS1 » (Network and Information System Security) va passer la main à la directive NIS2. NIS1 avait été adoptée par le Parlement européen et le Conseil de l’Union européenne en juillet 2016 et transposée au niveau national en 2018. Mais face à des cybercriminels toujours plus inventifs et efficaces, la directive NIS2 entend élargir son périmètre et apporter davantage de protection.

Publiée le 27 décembre 2022 au Journal officiel de l’Union européenne, NIS2 prévoit un délai de 21 mois pour que chaque État membre de l’UE la transpose en droit national. Elle devrait rentrer en vigueur en France, au deuxième semestre 2024.

Proportionnalité, nouveaux secteurs et sanctions renforcées

Parmi les nouveautés, NIS2 intègre un mécanisme de proportionnalité distinguant deux catégories d’entités régulées en fonction de leur niveau de criticité : les entités essentielles (EE) et les entités importantes (EI).

NIS2 étend également le nombre de secteurs concernés. Alors que la directive NIS1 régissait 19 secteurs, ce sont désormais 35 secteurs qui sont concernés par NIS2. Parmi les nouveaux secteurs d’activité, on trouve : les services postaux et d’expédition, l’industrie, l’agroalimentaire, la fabrication, la production et la distribution de produits chimiques et la gestion des déchets. Au sein de ces secteurs, les entreprises ciblées sont celles employant plus de 50 salariés et réalisant plus d’un million d’euros de chiffre d’affaires.

NIS2 renforce par ailleurs son régime de sanction, qui s’appliquera à toutes les entités assujetties. Les amendes prévues en cas de non-conformité pourront atteindre 10 millions d’euros ou 2% du chiffre d’affaires annuel mondial pour les EE, et 7 millions d’euros ou 1,4% du chiffre d’affaires annuel mondial pour les EI.

La mise en conformité à l’épreuve de la maturité des entreprises et de leurs ressources

Avant la transposition de la directive NIS2 en droit français, l’Anssi a procédé à un certain nombre de consultations. Cela a notamment été le cas avec le Cesin (Club des experts de la sécurité de l’information et du numérique) et Hexatrust (association professionnelle regroupant des spécialistes français et européens de la cybersécurité et du cloud de confiance et partenaire du Forum InCyber).

« Nous avons organisé deux groupes de travail qui ont piloté deux questionnaires adressés à nos membres. Cela a été suivi d’échanges très intéressants où chacun a pu s’exprimer. Les petites entreprises ont notamment mis en avant leurs préoccupations sur leur capacité à se mettre en conformité. Pour elles, le passage à l’échelle risque de ne pas être facile, en raison soit d’un manque de maturité, soit d’un manque de ressources », déclare Frank Van Caenegem, administrateur du Cesin et vice-président cybersécurité et RSSI EMEA de Schneider Electric.

Du côté des grandes organisations, les questionnements portent plutôt sur la capacité à se mettre en conformité dans tous les États membres, sachant que « le risque est non-négligeable d’être confronté à des disparités nationales, c’est-à-dire des versions différentes de la directive dues à des transpositions ‘localisées’. La question qui se pose est également de savoir si les grands groupes vont pouvoir disposer d’un portail unique pour faire remonter les incidents qui les touchent ou s’ils auront 27 interlocuteurs différents », complète Frank Van Caenegem.

La question de la compétitivité au cœur des échanges avec l’écosystème

Un autre sujet issu des échanges entre les membres du Cesin concerne la compétitivité des entreprises : « Avec NIS1, nous étions sur une sélection d’entreprises concernées. Nous passons avec NIS2 à un modèle où tout le monde doit se sentir concerné. Certaines sociétés – qui n’ont jamais été exposées à une réglementation de cybersécurité – se posent la question de savoir comment elles vont rester compétitives compte tenu des investissements induits par NIS2. Le passage à l’échelle ne sera pas forcément évident pour tout le monde », note Frank Van Caenegem.

Pour Jean-Noël de Galzain, président d’Hexatrust, le maintien de la compétitivité des entreprises est également une préoccupation : « La thématique qu’il faut retenir des discussions qui ont eu lieu au sein de notre groupe de travail (qui réunit 50 de nos membres) et avec l’Anssi est de savoir comment transformer l’adaptation à cette nouvelle directive en outil de compétitivité pour nos entreprises ».

Autre volet du travail effectué par Hexatrust et ses membres : que la transposition colle à certains secteurs d’activité. « Certains secteurs sont plus sensibles, ou mieux préparés que d’autres. Il est donc nécessaire que l’Anssi adapte cette directive à la réalité du terrain. L’avantage, chez Hexatrust, c’est que nous avons 130 membres, qui eux-mêmes ont des centaines, voire des milliers de clients, dans un très grand nombre de secteurs impactés par NIS2. Nous pouvons donc combiner cette connaissance du terrain avec le travail de transposition, de certification et de mise en conformité mené par l’Anssi », note Jean-Noël de Galzain.

La chaîne de sous-traitance également concernée

Les entreprises concernées par NIS2 vont par ailleurs devoir vérifier leur chaîne de valeur. « Les grandes entreprises, comme Schneider Electric, vont devoir contacter leurs sous-traitants pour savoir s’ils sont assujettis et si elles sont des entreprises essentielles ou importantes, s’ils ont un budget voté et un programme de mise en conformité leur permettant de respecter les délais. Nous nous rapprocherons durant le second trimestre 2024 des tiers assujettis pour connaitre leur avancement. Dans tous les cas, le pilotage des tiers va être une partie importante », fait remarquer Frank Van Caenegem.

Et l’administrateur du Cesin de conclure : « Certains métiers de services – comme les installateurs d’équipements électriques, électrotechniques ou IoT – pourraient affirmer ne pas être concernés par NIS2. Cela signifierait que des chaînes de confiance pourraient ne pas être respectées de bout en bout. Ce serait donc à la société qui vend les équipements d’auditer ou de former encore plus. »