La directive européenne NIS2 (Network and Information Security), adoptée en décembre 2022, marque une étape majeure dans le renforcement de la cybersécurité en Europe.
Elle vise à mieux protéger les infrastructures critiques et les services essentiels face aux cybermenaces.
En France, cette directive est en cours de transposition, mais le processus soulève des questions importantes, notamment sur son calendrier et ses implications.
Qu’est-ce que la directive NIS2 ?
NIS2 est une mise à jour de la directive NIS de 2016. Elle étend son champ d’application à de nouveaux secteurs et renforce les exigences en matière de cybersécurité.
Ses principaux objectifs sont :
Un champ élargi : La directive s’applique désormais à davantage de secteurs essentiels, tels que l’énergie, les transports, la santé, les infrastructures numériques, les services financiers, et bien d’autres.
Des obligations renforcées : Les entités concernées doivent adopter des mesures techniques et organisationnelles robustes pour prévenir et gérer les cyber risques. Elles sont également tenues de notifier les incidents majeurs dans des délais stricts.
Harmonisation européenne : NIS2 vise à unifier les pratiques de cybersécurité entre les États membres, facilitant la coopération transfrontalière.
Sanctions dissuasives : Les amendes pour non-conformité peuvent atteindre des niveaux comparables à celles prévues par le RGPD.
La situation en France
En France, la transposition de la directive NIS2 devait initialement être réalisée avant le 18 octobre 2024, conformément aux délais fixés par l’Union européenne.
Cependant, il semblerait que le processus prenne plus de temps que prévu, avec une nouvelle échéance potentielle fixée à décembre 2025. Le projet de loi de transposition, présenté en Conseil des ministres en octobre 2024, est encore en discussion au Parlement.
En attendant, les dispositions de la directive sont techniquement applicables en France depuis le 18 octobre 2024. Cela signifie que les entités concernées doivent déjà se conformer à ses exigences, même en l’absence de texte législatif national finalisé.
Avocats et experts-comptables : sont-ils concernés ?
Les professions d’avocat et d’expert-comptable ne sont pas directement mentionnées dans le texte de la directive NIS2.
Toutefois, elles pourraient être indirectement impactées :
Sous-traitance : Si elles travaillent pour des secteurs critiques soumis à NIS2, elles pourraient être tenues de répondre à des exigences de cybersécurité imposées par leurs clients.
Gestion de données sensibles : Ces professions manipulent souvent des données critiques. Elles pourraient être amenées à renforcer leurs mesures de sécurité pour anticiper les évolutions réglementaires.
Adaptation nationale : La France pourrait décider, lors de la transposition, d’inclure ces professions parmi les secteurs essentiels.
Pourquoi se préparer dès maintenant ?
Même si la transposition en France est retardée, il est judicieux pour toutes les organisations, y compris les cabinets d’avocats et d’experts-comptables, de se préparer dès maintenant.
Voici quelques recommandations :
Renforcer la cybersécurité : Mettre en place des systèmes de protection robustes (chiffrement, pare-feu, authentification multi-facteurs, etc.).
Adopter des normes internationales : S’inspirer des standards comme ISO/IEC 27001 pour structurer une démarche proactive.
Sensibiliser les équipes : Former le personnel aux bonnes pratiques en matière de cybersécurité.
Anticiper les audits : Préparer une documentation claire et accessible sur les mesures de sécurité déjà en place.
En conclusion
La directive NIS2 représente une opportunité pour les entreprises et organisations françaises de renforcer leur résilience face aux cybermenaces.
En France, bien que le processus de transposition prenne plus de temps que prévu, il est essentiel de s’aligner dès maintenant sur les exigences européennes pour rester compétitif et protégé. Que vous soyez une entité critique ou un prestataire indirectement concerné, anticiper les changements réglementaires est une démarche stratégique incontournable.
Comments