Même si la transposition de la directive NIS 2 en droit français devrait être légèrement retardée, le chantier de mise en conformité ne s’en annonce pas moins massif pour les 15 000 entités françaises concernées. Avec à la clé un objectif clair : augmenter le niveau global de cybersécurité pour faire face à une menace nouvelle.
Elargissement des entités concernées, renforcement des obligations et des sanctions encourues... Avec la directive NIS 2, l’Europe a frappé fort ! La menace cyber ne cessant de s’accentuer depuis l’adoption de la directive NIS (Network and Information System Security) en 2016, l’arsenal législatif européen n’était plus adapté pour répondre efficacement au risque encouru par les infrastructures numériques critiques, dont l’acception a été élargie dans cette deuxième version. Et ce pour plusieurs raisons : seuls les « opérateurs de services essentiels » étaient soumis aux obligations de la directive NIS, soit 300 entités dans toute la France. En outre, il n’y avait pas de réponse commune et coordonnée en cas de crise et l’absence d’harmonisation des secteurs soumis à NIS créait un décalage et rendait inégal le niveau de résilience entre ces derniers.
«La directive NIS2 opère un véritable changement d’échelle par rapport à toutes les réglementations cyber qui existaient auparavant. Que ce soit en termes de volume d’entreprises concernées, d’exigences ou de sanctions, il s’agit d’un texte inédit.»
Devant ce constat, et au vu de la multiplication des attaques sérieuses, la Commission européenne s’est saisie de la possibilité offerte par l’article 23 de la première directive pour la réviser afin de tenir compte des évolutions de la menace. Il en résulte un nouveau texte beaucoup plus exigeant, avec une force de frappe sans aucune mesure avec la version précédente, et dont la...
