L’administration et les services publics, ainsi que les entreprises considérées comme importantes pour le fonctionnement d’un pays donné, n’ont que jusqu’au 18 octobre de cette année pour s’adapter à la nouvelle directive européenne sur la cybersécurité. Ils devront « se mettre en conformité » avec la réglementation en matière de cybersécurité en vigueur au sein de l’Union européenne. Cette adaptation aura bien entendu un coût. Quiconque tarde ou ne prend pas les mesures appropriées s’expose à des sanctions.
Qui est concerné par NIS2 ?
Ce sont principalement les entités clés qui devront s’adapter à la directive. C’est-à-dire ceux qui, en premier lieu, opèrent dans l’un des dix secteurs économiques : énergie, transports, infrastructures bancaires et financières, soins de santé, eau potable, assainissement, infrastructures numériques, gestion des services TIC, espace, ou sont des entités administratives publiques. Deuxièmement, elles appartiennent au groupe des moyennes ou grandes entreprises (elles emploient plus de 50 salariés et leur chiffre d’affaires annuel et/ou leur total de bilan annuel dépasse 10 millions d’euros).
Cependant, si quelqu’un pense que la directive ne s’applique pas à lui parce qu’il ne remplit aucune des conditions ci-dessus, il pourrait être surpris. La directive NIS2 couvre également les micro-entreprises et les petites entreprises. À moins, comme il est défini, « qu’ils jouent un rôle clé pour la société, l’économie ou des secteurs ou types de services spécifiques ». Il peut s’agir par exemple de prestataires de services de confiance qualifiés, d’entrepreneurs – prestataires de services DNS ou d’entrepreneurs qui tiennent des registres de noms, appelés domaines de premier niveau.
Que sont les « entités importantes » ?
Mais ce n’est pas la fin. La directive NIS2 introduit également la notion d’« entités importantes » qui, bien qu’elles ne répondent pas aux critères des entités clés, leurs activités sont importantes pour le bon fonctionnement de l’économie. Il peut donc s’agir d’entités de taille moyenne opérant dans les secteurs « clés » indiqués et d’entités de taille moyenne ou grande opérant dans les secteurs « importants » – spécifiés à l’annexe II de la directive NIS2.
Cependant, il est plus facile de déterminer de quel type d’entreprise il s’agit et ce qu’elle fait. Par conséquent : ils vendent des services postaux et de messagerie, s’occupent de la gestion des déchets, du traitement et de la distribution de produits chimiques, de la transformation et de la distribution des aliments, de la production industrielle et mènent des recherches scientifiques. En pratique, la directive s’applique à de nombreux entrepreneurs.
Les entreprises ne sont pas prêtes
Dans le rapport conjoint du Conseil des OSC, EY Polska et Trend Micro intitulé « En attendant NIS2 : état de préparation » a évalué la préparation des entreprises en Pologne à l’adoption de nouvelles réglementations. De manière générale, le rapport a montré le manque de préparation des entrepreneurs, tant du point de vue technique, organisationnel que procédural. Pour se conformer aux exigences de la directive, les entrepreneurs doivent entreprendre de nombreuses actions en matière de cybersécurité, en accordant une attention particulière à la protection des infrastructures critiques, à la gestion des incidents informatiques et aux audits de sécurité.
Des coûts, des coûts, des coûts…
Les activités auxquelles la directive NIS2 oblige les entrepreneurs devraient inclure la mise à jour des systèmes informatiques, la mise en œuvre de solutions de sécurité informatique et la réalisation d’audits de leurs systèmes et procédures – s’ils sont conformes aux dispositions de la directive. Les nouvelles réglementations imposent également des changements dans les processus commerciaux de l’entreprise, ce qui entraînera également des coûts supplémentaires. Les entrepreneurs devront recycler des spécialistes de la cybersécurité, et s’ils n’en ont pas, ils devront les embaucher.
Tout cela coûtera de l’argent, tout comme la surveillance constante des systèmes, l’élaboration de réponses aux incidents informatiques, la création de rapports réguliers sur l’état de préparation et les audits de sécurité.
Des pénalités, des pénalités, des pénalités…
L’introduction du NIS2 comporte un risque de sanctions en cas de non-respect de la réglementation. Des sanctions financières et autres conséquences sont prévues. Ces sanctions peuvent être importantes et leur montant dépendra du type de violation de la réglementation, de la sensibilité des données sécurisées et de l’ampleur des opérations de l’entreprise.
Par exemple : un entrepreneur sera sanctionné s’il ne sécurise pas ses systèmes et données conformément aux exigences de la directive NIS2. Il existe également des sanctions en cas de non-signalement des incidents de sécurité.
Le montant exact des sanctions dépendra des dispositions du droit national (principalement dans la loi sur la cybersécurité) et de ce que l’on appelle circonstances individuelles.