La Directive NIS 2, analysée par Maître Alexandra Iteanu, Avocat spécialisé en numérique, s’inscrit comme une évolution majeure dans la législation européenne de la cybersécurité, similaire en importance au RGPD pour la protection des données. Cette directive, qui doit être intégrée dans le droit français d’ici le 18 octobre 2024, remplace la Directive NIS 1 de 2016. Elle répond à l’urgence de renforcer la cybersécurité dans un monde de plus en plus numérisé et face à une cybercriminalité croissante.
Élargissement du champ d’application et responsabilités accrues : La NIS 2 étend considérablement son champ d’application, passant de 6 à 18 secteurs, et impactera entre 10 à 15 000 entités en France, regroupant des « entités essentielles » comme le secteur de l’énergie, des transports, de la banque, de la santé, et des « entités importantes » comme la poste, la gestion des déchets, et le secteur alimentaire. Les entreprises concernées devront adopter des mesures adaptées à leur taille et activité pour gérer les risques cybernétiques, en mettant en œuvre des pratiques telles que l’authentification multifacteur, la gestion de la continuité des services et la sécurisation de la chaîne de sous-traitance. En cas d’incident, ces entités seront tenues de notifier l’Anssi sous 24 à 72 heures.
Sanctions sévères pour non-conformité : En écho au RGPD, la Directive NIS 2 impose des sanctions significatives en cas de non-conformité. Les entités essentielles risquent des amendes administratives pouvant atteindre 10 millions d’euros ou 2 % de leur chiffre d’affaires annuel mondial, tandis que les entités importantes pourraient se voir infliger des amendes allant jusqu’à 7 millions d’euros ou 1,4 % du chiffre d’affaires mondial. Ces mesures visent à garantir une supervision rigoureuse de la cybersécurité par les directions des entités concernées, répondant ainsi aux préoccupations des Responsables de la Sécurité des Systèmes d’Information (RSSI) quant à l’implication des instances dirigeantes.
