Préparons-nous à ce tournant réglementaire majeur et irréversible dans le secteur de la cybersécurité !
NIS 2 a pour objectif de dâaugmenter le niveau de sĂ©curitĂ© mais surtout de rĂ©silience (cyber) de lâUnion.
Lâobjectif de cet article sera de fournir un Ă©clairage stratĂ©gique et gĂ©opolitique de cette norme. En effet, les changements imposĂ©s par NIS2 sont majeurs et afin de pouvoir embarquer avec vous, vos directions et collaborateurs, il va falloir expliciter la directive, convaincre de lâimportance de sâen emparer sĂ©rieusement, rapidement et, bien-sĂ»r, dâen faire un Ă©lĂ©ment Ă part entiĂšre de vos stratĂ©gies. Il est plus aisĂ© dâappliquer une norme quand on comprend comment et par qui elle a Ă©tĂ© pensĂ©e et construite !
Qui a créé NIS2 ?
Pour rappel, câest dĂšs lâĂ©tĂ© 2019, que lâANSSI française anticipe une rĂ©vision ambitieuse de NIS 1. Cette ambition se concrĂ©tise en octobre 2022 sous lâappellation NIS 2. Il convient toutefois de prĂ©ciser quâune norme ne sâĂ©crit pas en lâespace dâun mois. En rĂ©alitĂ©, cette rĂ©vision est impulsĂ©e par la France lorsquâelle prend la tĂȘte du Conseil de lâUnion EuropĂ©enne de janvier Ă juin 2022. Le Conseil de lâUE a pour mission principale de fixer les grandes thĂ©matiques Ă travailler pour les 6 mois Ă venir.
NIS Ă©tant votĂ© en novembre, le travail de rĂ©daction et le travail de fond ont Ă©tĂ© initiĂ©s sous la prĂ©sidence française ce qui constitue une premiĂšre forme dâinfluence. Mais plus concrĂštement câest le comitĂ© ITRE (ComitĂ© industrie, recherche et Ă©nergie) qui sâaffĂšre Ă rĂ©diger le texte.
Quelques figures politiques françaises ont ainsi directement participées à la rédaction de NIS 2 comme : Marie Toussaint, Marina Mesure, Christophe Grudler, François-Xavier Dauchy ou encore Thierry Mariani.
La forme du texte : une directive qui sâimpose Ă tous
Comme Ă©voquĂ© tout au long de ce travail, le texte final prend la forme dâune directive et ce choix nâest pas anodin. Par dĂ©finition, une directive europĂ©enne ne donne que les grandes orientations et laisse ensuite la libertĂ© aux Ătats membres de choisir les modalitĂ©s quâils souhaitent pour arriver Ă concrĂ©tiser les orientations de la directive. Câest Ă dire, que mĂȘme en vertu du principe de primautĂ©, le droit europĂ©en prime sur le droit français, la transposition en France va ĂȘtre trĂšs importante pour savoir concrĂštement ce que les organisations devront mettre en Ćuvre pour ĂȘtre en conformitĂ© avec NIS 2.
Cependant, il faut garder Ă lâesprit que mĂȘme si le texte nâest pas transposĂ© avant la date butoir donnĂ©e par lâUE Ă savoir octobre 2024, le texte produit quand mĂȘme un effet direct sur les organisations. Câest Ă dire que mĂȘme sans dĂ©tails organisationnels, une entreprise pourra ĂȘtre condamnĂ©e par lâUE si on estime quâelle ne respecte pas les prĂ©rogatives du texte.
La transposition en droit français : enjeux et échéances
Nous Ă©voquions prĂ©cĂ©demment que le fait que la directive ne soit pas encore votĂ©e en Droit Français et que donc les applications concrĂštes du texte restaient gĂ©nĂ©rales et vagues. NĂ©anmoins le calendrier et Ă©chĂ©ances se rapprochent. Fin avril, un premier projet de lois rĂ©digĂ© par lâANSSI a Ă©tĂ© soumis au public. La transposition ne devrait plus tarder. Au regard du calendrier ci-dessous, nous pouvons Ă©mettre lâhypothĂšse dâune transposition effective avant les Jeux Olympiques. Il est en ce sens primordial dâanticiper ces changements afin de ne pas les subir, mais bien dâen faire un avantage concurrentiel.
Dans le prochain épisode : décryptage de projet de lois NIS 2 par nos équipes. Lecture croisée technique et stratégique.
