NIS 2 : Les Dirigeants au Cœur de la Gouvernance Cybersécurité

Avec l'avènement du numérique, la cybersécurité est devenue un enjeu business critique pour les entreprises. Et les dirigeants sont désormais en première ligne. La directive européenne NIS 2, qui entrera en application en octobre 2024, les place au cœur de la gouvernance cyber. Décryptage avec Antoine Gravereaux, avocat au sein du cabinet FTPA.

NIS 2 : Un changement de paradigme pour les dirigeants

La directive NIS 2 marque un véritable tournant en matière de gouvernance de la cybersécurité. Là où la réglementation précédente se concentrait surtout sur les aspects techniques et opérationnels, NIS 2 responsabilise directement les dirigeants dans la sécurisation de leur entreprise.

Concrètement, les dirigeants devront s'assurer que leur organisation dispose des ressources adéquates, met en œuvre les mesures de sécurité appropriées et gère efficacement les incidents. Ils devront aussi rendre des comptes sur la stratégie cybersécurité auprès de leur conseil d'administration.

Les dirigeants ne peuvent plus se tenir à l'écart des sujets cyber. Avec NIS 2, la sécurité numérique devient une responsabilité stratégique et managériale.

– Antoine Gravereaux, avocat FTPA

De nouvelles obligations pour les entreprises

Pour se conformer à NIS 2, les entreprises concernées devront notamment :

• Nommer un responsable cybersécurité au plus haut niveau.
• Réaliser des analyses de risques et audits réguliers.
• Mettre en place un système de gestion des incidents.
• Former et sensibiliser les collaborateurs.
• Intégrer la sécurité dès la conception des projets.

Ces obligations s'appliqueront à un large périmètre d'acteurs, incluant les opérateurs de services essentiels comme les établissements de santé ou les entreprises d'énergie, mais aussi les fournisseurs de services numériques tels que les clouds et places de marché en ligne.

Quels risques en cas de non-conformité ?

Le non-respect des exigences de NIS 2 exposera les organisations à de lourdes sanctions. Les autorités nationales pourront infliger des amendes pouvant aller jusqu'à 10 millions d'euros ou 2% du chiffre d'affaires mondial. Les dirigeants s'exposeront aussi à des sanctions individuelles comme des interdictions de gérer.

Au-delà des aspects réglementaires, ne pas se mettre en conformité fera courir des risques business majeurs aux entreprises : pertes financières et d'exploitation en cas d'attaques, atteinte à la réputation et à la confiance des clients, désavantage concurrentiel...

Comment les entreprises peuvent-elles se préparer ?

Même si la directive NIS 2 n'entrera en vigueur que fin 2024 après sa transposition en droit français, les entreprises ont tout intérêt à anticiper dès maintenant sa mise en œuvre. Voici quelques recommandations :

• Nommer un responsable cybersécurité au sein de la direction et lui donner les moyens d'agir.
• Cartographier les risques cyber de l'entreprise et établir un plan d'actions.
• Auditer et renforcer les mesures de sécurité techniques, organisationnelles et humaines.
• Préparer et tester un plan de gestion de crise cyber.
• Sensibiliser et former régulièrement les collaborateurs aux bonnes pratiques.

Les dirigeants doivent saisir NIS 2 comme une opportunité de renforcer la cyber-résilience de leur entreprise. En plaçant la sécurité au cœur de leur stratégie, ils protègeront leurs actifs numériques critiques et préserveront la confiance de leurs parties prenantes.

La directive NIS 2 accélère la prise de conscience : à l'ère du digital, la cybersécurité n'est plus seulement l'affaire des experts techniques. C'est un enjeu de gouvernance qui doit être porté au plus haut niveau de l'entreprise. Aux dirigeants de montrer l'exemple pour entrainer l'ensemble de l'organisation vers une culture cyber durable.