Lundi de la cybersécurité : Directive NIS2 transposée en droit français

30 septembre 2024
CMS header image

Directive NIS2 : pour la résilience des Systèmes d’Information en Europe

À l’heure où les cyberattaques menacent de plus en plus nos systèmes d’information, l’Union européenne lance une révolution en matière de cybersécurité : la directive NIS2. Ce texte fondamental, qui sera transposé en droit français le 17 octobre prochain, impose de nouvelles normes de cyber-résilience pour protéger les systèmes d’information de toute l’Europe. Votre organisation ne peut plus se permettre d’ignorer cette évolution.

La directive NIS2 a pour objectif d’augmenter la résilience des entreprises face aux cybermenaces en imposant des mesures rigoureuses. Elle concerne plus de 150 000 entités à travers l’Europe, dont 15 000 entreprises et collectivités en France, qu’elles soient « essentielles » ou « importantes ». En cas de non-conformité, les sanctions seront sévères, avec des amendes pouvant atteindre 10 millions d’euros ou 2 % du chiffre d’affaires mondial.

Face à ce bouleversement, il est impératif pour chaque entreprise de s’y préparer dès maintenant.

Découvrez le MBA Management de la Cybersécurité

La cyber-résilience : une priorité pour votre organisation

La cyber-résilience représente la capacité d’un système d’information à détecter, combattre, et récupérer d’un incident de cybersécurité. Pour atteindre cet objectif, des contre-mesures appropriées doivent être mises en place : des outils et services spécialisés, la sensibilisation du personnel à la gestion des risques, et l’implication du top management pour éviter des sanctions sévères.

Des chiffres clés à retenir

  • 150 000 entités réparties dans 27 pays européens.
  • En France, plus de 15 000 entreprises et collectivités locales concernées.
  • La directive touche 18 secteurs d’activité.
  • La date limite pour la transposition : 17 octobre.

Olivier Iteanu prend la parole

La directive UE 2022/255 du 14 décembre 2022, dite NIS2, marque un tournant dans le droit de la cybersécurité en Europe. Contrairement aux rares textes précédents (comme la Convention de Budapest en 2001 ou le Cybersecurity Act en 2019), cette directive impose des mesures techniques et organisationnelles uniformes à tous les acteurs économiques du marché européen, des grands groupes jusqu’aux PME.

Pourquoi la NIS2 est-elle si importante ?

Un cadre commun pour toute l’Europe : La directive NIS2 vise à renforcer la cybersécurité dans tous les États membres.
Des sanctions à la hauteur des enjeux : Les contrevenants s’exposent à des amendes allant jusqu’à 10 millions d’euros ou 2% du chiffre d’affaires annuel pour les entités essentielles, et 7 millions d’euros ou 1,4% du chiffre d’affaires pour les entités importantes.
Un impact immédiat pour les entreprises : La directive sera transposée dans tous les pays de l’UE d’ici fin 2024.
En France, la NIS2 deviendra un élément clé du cadre juridique en matière de cybersécurité, sous la supervision renforcée de l’ANSSI. Toutefois, cette nouvelle réglementation soulève aussi des questions juridiques importantes concernant la responsabilité des entreprises.

Qui est Olivier Iteanu ?

Maître Olivier Iteanu est avocat à la Cour d’appel de Paris depuis 30 ans et enseigne le droit du numérique en Master 2 du numérique à Paris 1 Sorbonne. Il dirige un Cabinet d’Avocats à Paris de 15 professionnels, dont l’activité est dédiée au numérique. Il s’agit de la propriété intellectuelle (logiciels et bases de données), des data et notamment RGPD, du e-commerce et de la cybersécurité. Ce dernier domaine représente en 2023 15% de son chiffre d’affaires pour l’essentiel dans le domaine de la fraude à base d’usurpation d’identité dans l’environnement numérique.

Olivier Iteanu est l’auteur de 5 ouvrages dont « Tous cybercriminels » (Ed. Jean-Louis Laffont 2002) vendu à plus de 10.000 exemplaires et son dernier ouvrage « Quand le Digital défie l’Etat de droit » (Ed Eyrolles), prix spécial du jury au FIC en 2017.

Téléchargez la brochure du MBA Management de la Cybersécurité

Inscription pour le Lundi de la Cybersécurité - Octobre 2024

Lundi 21 octobre à partir de 18h00, via Zoom.

Nos Lundi de la Cybersécurité sont gratuits et traitent de sujets d’actualité en cybersécurité. Pour vous inscrire, envoyez un email à [email protected]. Quelques jours avant l’événement, vous recevrez le lien vers la visioconférence.

Les informations des inscrits seront partagées avec les organisateurs et les intervenants.

Demandez votre inscription

Quelques minutes avec une organisation ou avec une personne

Suivant la tradition de nos « Lundi de la cybersécurité », entre l’exposé de l’intervenant et la session questions / réponses, autour de 19 h 15, nous donnons pour une quinzaine de minutes la parole à une organisation ou à une personne qui opère dans l’écosystème du numérique et dans la sécurité de l’information. Pour ce Lundi de septembre, nous donnons la parole à Clarisse VERON.

Clarisse, une de mes étudiantes en Master2 « Cybersécurité et eSanté » de l’Université Paris Cité, nous présentera ses comptes rendus qui constituent la mémoire de nos « Lundi de la Cybersécurité », de comment et pourquoi elle les écrit, où les trouver, quelle est leur architecture, et le travail que ça lui demande.

Les comptes-rendus rédigés par Clarisse VERON

Le coin des « Lundi de la cybersécurité » précédents.

Le coin-coin de l’IA Générative

Prompt posée à Gemini (IA Générative de Google) : Comment va se faire la transposition de NIS2 dans la loi française ?

Voici une partie de la réponse reçue :

« La transposition de la directive NIS2 (Network and Information Security) dans la loi française est un processus complexe qui vise à intégrer les nouvelles exigences européennes en matière de cybersécurité au sein du cadre juridique national.

Les grandes étapes de cette transposition sont les suivantes :

  • Analyse et adaptation : Les autorités françaises compétentes, notamment l’Agence nationale de la sécurité des systèmes d’information (ANSSI), analysent en profondeur les dispositions de NIS2 afin d’évaluer leur impact sur le droit français existant. Cette étape permet d’identifier les éventuelles lacunes à combler et de définir les adaptations nécessaires.
  • Consultation des acteurs : Afin d’assurer une transposition efficace et adaptée aux réalités du terrain, des consultations sont organisées avec les différents acteurs concernés : entreprises, administrations, organisations professionnelles, etc. Ces échanges permettent de recueillir les avis et les attentes de chacun et de co-construire le nouveau cadre réglementaire.
  • Élaboration du texte de loi : Sur la base des analyses et des consultations menées, les autorités compétentes élaborent un projet de loi visant à transposer NIS2 dans le droit français. Ce texte doit être conforme aux exigences de la directive européenne tout en tenant compte des spécificités du système juridique français.
  • Examen et adoption du texte : Le projet de loi est ensuite soumis à l’examen et au vote des parlementaires. Les débats parlementaires permettent d’affiner le texte et d’intégrer les amendements proposés par les différents groupes politiques.
  • Publication et entrée en vigueur : Une fois adopté par le Parlement, le texte de loi est publié au Journal officiel et entre en vigueur à une date déterminée.

En résumé, la transposition de NIS2 en France est une étape importante pour renforcer la cybersécurité du pays. Elle va entraîner de nouvelles obligations pour les entreprises et les organisations, mais elle permettra également de mieux protéger les systèmes d’information essentiels. »

Je reprends la plume.

Une évidence qui m’est apparue depuis que je termine ces lettres des « Lundi de la Cybersécurité » par une interrogation via une IA Générative : Pour obtenir une réponse édifiante, et pas une hallucination, il faut formuler le bon prompt et il est ensuite indispensable de garder de la hauteur pour interpréter la réponse.

Bon là, ça me semble être une bonne réponse de Gemini.

Olivier Iteanu nous en dira plus le 21 octobre 18h.

Gérard