Si la gestion des risques cyber est déjà intégrée par les dirigeants soumis à NIS1, la nouvelle directive concerne désormais plus de 10 000 organisations privées ou publiques des secteurs de l’énergie, des transports, de la santé, du numérique… NIS2 entre ainsi dans les conseils d’administration en engageant la responsabilité des dirigeants.
Les dirigeants des nouvelles organisations concernées sont obligés d’implémenter des mesures de sécurité importantes et d’assurer une mise en conformité conséquente. Les fournisseurs des entreprises désormais soumises à NIS2 sont également concernés car ils doivent répondre aux obligations par ricochet du fait de la chaine de conformité de bout en bout. Le non-respect des obligations entraîne non seulement des pertes de marchés mais aussi des sanctions financières pouvant atteindre 2% du CA et des conséquences sur la réputation.
Ce qui change également avec NIS2, c’est que la responsabilité personnelle des dirigeants peut être engagée avec des interdictions de gérer l’entreprise et des risques de poursuites.
Les dirigeants doivent procéder en plusieurs étapes pour se conformer
Alors, comment les dirigeants peuvent-ils se préparer à NIS2 ? Les dirigeants et conseils d’administration peuvent intégrer NIS2 à travers différentes étapes clés.
Tout d’abord, les décideurs doivent s’informer sur la portée conséquente de NIS2. Ils doivent vérifier si leurs activités entrent dans le champ de la directive. Ils peuvent par exemple tester sur le site de l’ANSSI https://monespacenis2.cyber.gouv.fr/simulateur si leur structure est soumise. Les décideurs doivent ensuite comprendre clairement les exigences et de quelles manières elles vont transformer leur organisation et les relations d’affaires. En effet, le non-respect des obligations peut entraîner outre des risques cyber, des conséquences commerciales et des réévaluations des relations avec les partenaires.
Une deuxième étape consiste à évaluer les risques cyber. Les dirigeants doivent mesurer précisément les vulnérabilités et évaluer les menaces potentielles qui évoluent rapidement.
Ainsi, les décideurs, en fonction de leurs spécificités et de leur acceptation de certains risques, pourront établir une cartographie et des priorités pour viser la résilience de leur structure. L’évaluation du niveau de sécurité devient un axe stratégique et de comparaison par rapport à des concurrents ou des tiers.
Ensuite, les décideurs devront créer ou mettre à jour leurs politiques générales de cybersécurité, politique RGPD ou clauses générales contractuelles, mais aussi établir ou actualiser des plans de continuité d’activités et de reprise d’activités ou encore des plans de communication de crise cyber. L’une des spécificités de NIS2 est l’exécution et le maintien des plans de réponse à incident. Les dirigeants doivent également veiller à l’organisation de la détection des incidents et à leur signalement sous un délai de 24h après en avoir pris connaissance auprès des autorités compétentes.
Une autre étape clé, rendue obligatoire par NIS2, est la formation des dirigeants mais aussi des employés. L’acquisition de connaissances sur les enjeux de la cybersécurité et de nouvelles menaces avec leurs conséquences sur les activités est majeure, notamment pour une prise de décision pertinente mais aussi pour appliquer les meilleures pratiques de sécurité et se conformer aux dernières exigences réglementaires. Comme le RGPD, l’établissement de procédures et la réalisation de documentations et journaux est rendu obligatoire par NIS2. La communication en cas d’incidents aux tiers concernés est également instaurée et représente un enjeu essentiel pour les dirigeants dans les modèles d’affaires et pour la protection de la réputation.
Enfin, pour vérifier régulièrement l’application de NIS2, les dirigeants sont tenus d’examiner et d’auditer régulièrement les mesures de cybersécurité et de résilience. Les audits peuvent être réalisés en interne ou en externe.
La directive NIS2 est un levier d’innovation conséquent et introduit une responsabilité élevée des dirigeants et cadres supérieurs charger d’intégrer la cyber au niveau stratégique.
Patrice Remeur.