Quels enjeux, implications et responsabilités pour les dirigeants face au risque cyber dans le contexte de NIS 2 ?

Le mardi 18 juin dernier, un petit-déjeuner organisé par Semkel rassemblant des experts de haut niveau s’est tenu à Paris, pour discuter de la directive NIS 2 et de ses implications juridiques pour les dirigeants d’entreprises. L’objectif : sensibiliser les dirigeants, DSI et directions juridiques aux enjeux que recouvre cette directive et à la nécessité de renforcer leur protection cyber grâce à des conseils clés pour préparer et surtout anticiper leur mise en conformité d’ici le 17 octobre 2024 – date de transposition de la directive sur le territoire national.

Des obligations encore incertaines mais un enjeu d’anticipation pour les organisations

Julien Lopizzo, PDG de Semkel et modérateur du petit-déjeuner a rappelé dans son propos introductif que le paysage des cybermenaces évoluait constamment, obligeant les entreprises à adapter en permanence leurs stratégies de sécurité pour faire face à ces nouvelles menaces. Si la directive a été adoptée par tous les États membres de l’UE, chaque État dispose d’une certaine marge de manœuvre dans la transposition de la directive en droit national. Le gouvernement français a publié un projet de loi pour encadrer cette transposition mais le projet de loi reste toujours en cours de discussion au Sénat à l’heure actuelle.

Christian Daviot, Senior Advisor du Cyber Cercle et ancien conseiller en stratégie du directeur général de l’ANSSI, a soulevé un certain nombre de préoccupations concernant le projet de loi, parmi lesquelles : le manque de clarté de certaines dispositions et obligations ; le rôle prépondérant de l’agence française de cybersécurité (ANSSI) ainsi que le risque de sanctions particulièrement élevé prévu par la directive (jusqu’à 2% du chiffre d’affaires annuel global de l’entreprise pour les entités importantes).

“NIS 1, c’était l’accompagnement et la réglementation minimale. NIS 2, c’est la sanction.

– Christian Daviot

La directive NIS 2 vise à répondre à l’augmentation des cybermenaces et à protéger les secteurs d’activité critiques. Elle élargit donc le champ d’application de la directive NIS 1 à un plus grand nombre d’entreprises et impose de nouvelles obligations, telles que la réalisation d’analyses de risques (audits) ou encore la notification proactive d’incidents cyber. Ces obligations s’étendent jusqu’au champ des sous-traitants et fournisseurs d’entreprises considérés comme partenaires, et donc responsables au même titre que les entreprises en cas de risque cyber.

“La conformité ne veut pas dire sécurité.”

– Julien Lopizzo

La responsabilité personnelle des dirigeants d’entreprise étendue

Compris dans l’élargissement de la directive, la responsabilité juridique des organes de direction. Ce changement majeur par rapport à NISI introduit un principe de responsabilité personnelle accrue des dirigeants, qui peuvent désormais être tenus responsables en cas de non-respect des obligations de la directive, comme l’a souligné Julie Jacob, avocate spécialisée dans le domaine de la Propriété Intellectuelle, des technologies, des données. Cela signifie que les dirigeants doivent s’assurer que leur entreprise met en œuvre les mesures de sécurité nécessaires et qu’ils sont en mesure de démontrer qu’ils ont pris les “mesures raisonnables et appropriées”. Autrement ces derniers s’exposent à de lourdes sanctions financières et personnelles pouvant aller jusqu’à la suspension, voire l’interdiction temporaire d’exercer des responsabilités de direction dans le cas des entités essentielles.

“Les organes de direction des entités essentielles et importantes vont devoir assumer une responsabilité accrue dans la gestion des risques.”

– Maitre Julie Jacob

Pour se préparer au mieux, les dirigeants doivent s’assurer d’un point de vue organisationnel et réglementaire que tout est en ordre (DSI, chartes informatiques, contrats avec les prestataires, etc.). Les entreprises disposent ensuite d’un certain nombre de leviers pour se préparer à l’application de la directive.

Étapes indispensables pour se mettre en conformité

Pour anticiper et préparer leur mise en conformité dans les meilleures conditions d’ici octobre, les entreprises et organisations peuvent commencer à se préparer d’un point de vue pratique :

  • En réalisant une analyse de risques pour identifier leurs cybermenaces potentielles ;
  • En mettant en œuvre des mesures de sécurité adéquates ;
  • En formant leurs employés à la cybersécurité ;
  • En mettant en place un plan de réponse aux incidents ;
  • En souscrivant à une assurance cyber ;

S’il est encore difficile de chiffrer exactement le prix d’une mise en conformité, il est certain que la directive NIS 2 aura un impact significatif sur les entreprises européennes. Il est donc essentiel que les entreprises comprennent les enjeux de la directive et prennent les mesures nécessaires pour se préparer dès maintenant à son application.

Il s’agit d’une opportunité, et non d’une contrainte, pour accélérer la coopération des Etats à l’échelle européenne et de renforcer la protection contre les cyberattaques en entreprise.

“Le vrai levier, c’est la gestion du risque.

– Julien Lopizzo