Préparons-nous à ce tournant réglementaire majeur et irréversible dans le secteur de la cybersécurité !
NIS 2 a pour objectif de d’augmenter le niveau de sécurité mais surtout de résilience (cyber) de l’Union.
L’objectif de cet article sera de fournir un éclairage stratégique et géopolitique de cette norme. En effet, les changements imposés par NIS2 sont majeurs et afin de pouvoir embarquer avec vous, vos directions et collaborateurs, il va falloir expliciter la directive, convaincre de l’importance de s’en emparer sérieusement, rapidement et, bien-sûr, d’en faire un élément à part entière de vos stratégies. Il est plus aisé d’appliquer une norme quand on comprend comment et par qui elle a été pensée et construite !
Qui a créé NIS2 ?
Pour rappel, c’est dès l’été 2019, que l’ANSSI française anticipe une révision ambitieuse de NIS 1. Cette ambition se concrétise en octobre 2022 sous l’appellation NIS 2. Il convient toutefois de préciser qu’une norme ne s’écrit pas en l’espace d’un mois. En réalité, cette révision est impulsée par la France lorsqu’elle prend la tête du Conseil de l’Union Européenne de janvier à juin 2022. Le Conseil de l’UE a pour mission principale de fixer les grandes thématiques à travailler pour les 6 mois à venir.
NIS étant voté en novembre, le travail de rédaction et le travail de fond ont été initiés sous la présidence française ce qui constitue une première forme d’influence. Mais plus concrètement c’est le comité ITRE (Comité industrie, recherche et énergie) qui s’affère à rédiger le texte.
Quelques figures politiques françaises ont ainsi directement participées à la rédaction de NIS 2 comme : Marie Toussaint, Marina Mesure, Christophe Grudler, François-Xavier Dauchy ou encore Thierry Mariani.
La forme du texte : une directive qui s’impose à tous
Comme évoqué tout au long de ce travail, le texte final prend la forme d’une directive et ce choix n’est pas anodin. Par définition, une directive européenne ne donne que les grandes orientations et laisse ensuite la liberté aux États membres de choisir les modalités qu’ils souhaitent pour arriver à concrétiser les orientations de la directive. C’est à dire, que même en vertu du principe de primauté, le droit européen prime sur le droit français, la transposition en France va être très importante pour savoir concrètement ce que les organisations devront mettre en œuvre pour être en conformité avec NIS 2.
Cependant, il faut garder à l’esprit que même si le texte n’est pas transposé avant la date butoir donnée par l’UE à savoir octobre 2024, le texte produit quand même un effet direct sur les organisations. C’est à dire que même sans détails organisationnels, une entreprise pourra être condamnée par l’UE si on estime qu’elle ne respecte pas les prérogatives du texte.
La transposition en droit français : enjeux et échéances
Nous évoquions précédemment que le fait que la directive ne soit pas encore votée en Droit Français et que donc les applications concrètes du texte restaient générales et vagues. Néanmoins le calendrier et échéances se rapprochent. Fin avril, un premier projet de lois rédigé par l’ANSSI a été soumis au public. La transposition ne devrait plus tarder. Au regard du calendrier ci-dessous, nous pouvons émettre l’hypothèse d’une transposition effective avant les Jeux Olympiques. Il est en ce sens primordial d’anticiper ces changements afin de ne pas les subir, mais bien d’en faire un avantage concurrentiel.
Dans le prochain épisode : décryptage de projet de lois NIS 2 par nos équipes. Lecture croisée technique et stratégique.
