La directive européenne NIS 2 entre en vigueur ce jeudi 17 octobre. Pourtant, de nombreuses entreprises ne sont pas encore prêtes à se conformer aux nouvelles exigences de cybersécurité. Elles disposent toutefois de trois ans pour se mettre en règle.
Le top départ est lancé : la directive NIS 2 entre en vigueur ce jeudi 17 octobre pour 15 000 entreprises françaises et des centaines de milliers d’entités européennes. Cette nouvelle version de la directive NIS étend son champ d’application à 18 autres secteurs, incluant les transports, la santé et les fournisseurs de services numériques. Pour rappel, cette directive impose un ensemble de mesures juridiques, techniques et organisationnelles que les entités devront adopter, en fonction de leur niveau de risque, pour améliorer leur cybersécurité et renforcer leur résilience opérationnelle.
Alors, qu'est-ce qui va changer pour les principaux concernés ? Eh bien, pas grand-chose dans l'immédiat. En effet, la transposition a pris du retard, notamment à cause de la dissolution de l’Assemblée nationale en mai et du long imbroglio autour de la nomination du gouvernement Barnier. La transposition de la directive ne semble pas être une priorité pour les parlementaires, et le texte n’a toujours pas été déposé au Conseil des Ministres. La France a jusqu’au 17 janvier 2025 pour informer la Commission européenne des règles et mesures adoptées, et jusqu'au 17 avril 2025 pour soumettre la liste des entreprises concernées par NIS 2.
La méthode douce
« Nous avons constaté que seulement 24 % des entreprises sont prêtes à se conformer à la directive NIS 2, tandis que 45 % ont annoncé des plans de mise en conformité et ont commencé à investir dans ce sens. Mais beaucoup d’entreprises n’ont pas encore entamé ce processus, soit par manque de ressources, soit parce qu’elles ne savent pas comment s'y prendre », nous confiait Xavier Mathis, Directeur de la Stratégie, Okta France, citant une étude IPSOS réalisée pour l’entreprise. Autre constat de l’étude : près d'un quart (23 %) des décideurs déclarent n'avoir jamais entendu parler de NIS 2.
Heureusement, les entreprises auront trois ans pour mettre en œuvre les mesures de sécurité exigées. « Pas de précipitation, mais pas de désinvolture non plus. D'autant qu'on ne va pas forcément attendre trois ans pour exiger certaines mesures simples », avait averti Vincent Strubel lors des Assises de Monaco. Les entités concernées devront, par exemple, rapidement se familiariser avec la plateforme MonEspace NIS2 pour la notification des incidents. « Nous n’allons pas attendre trois ans pour l’implémenter, car c’est crucial. » La directive NIS 2 prévoit des amendes pouvant aller jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial en cas de non-respect des exigences.