Les sanctions de NIS 2
Que risque votre organisation en cas de non conformité aux exigences ?
écrit par Clément Rose | 17/09/2024 | 5 min de lecture
D’ici octobre, la France doit transposer la directive européenne NIS 2 (Network and Information Security 2) qui vient renforcer NIS, une directive votée 6 ans plus tôt. Le nouveau texte va plus loin à différentes échelles : davantage de secteurs concernés, un élargissement du champ d’application, et enfin des sanctions plus sévères. Mais que risquent les organisations concernées à ne pas se conformer aux exigences de NIS 2 ?
1. Des sanctions plus lourdes avec NIS 2
Pour inciter fortement les organisations à respecter les exigences de la directive, le texte prévoit de nouvelles sanctions. Elles seront plus lourdes que dans la première version du texte. L’objectif étant de passer d’une logique de mise en place de moyens à une obligation réglementaire et légale.
On peut noter trois grandes catégories de sanctions :
- Des manquements rendus publics
- Des amendes conséquentes
- Mise en cause des dirigeants
En effet, un premier volet de sanction prévoit d’afficher publiquement les organisations qui ne se conforment pas aux exigences de la loi. Plus précisément, les éléments de non-conformité des organisations concernées seront rendus publics par les autorités nationales compétentes. Plus strict encore, ces derniers pourront identifier publiquement la ou les personnes physiques et morales responsables de la non-conformité par des déclarations.
De plus, les amendes pourront être bien plus lourdes que celles prévues par NIS 1. Elles pourront désormais atteindre 10 millions d’euros ou 2% du chiffre d’affaires pour les entités essentielles. Nous verrons dans la seconde partie de cet article que le montant de ces amendes dépend du type d’entité visé.
Enfin, la directive met l’accent sur la responsabilité légale des dirigeants pour les obliger à prendre au sérieux ces exigences en termes de cybersécurité. Ainsi, les dirigeants des entreprises mais aussi les agents et élus de l’administration publics pourront être tenus responsables des manquements à leur obligation de veiller au respect de la directive.
2. Des sanctions différenciées selon le type d'entreprise
Si les sanctions seront plus lourdes pour l’ensemble des organisations concernées par la directive, les mesures seront différenciées. En effet, la nouvelle directive européenne distingue deux types d’entités, les entités essentielles et les entités importantes, qui ne seront pas affecté de la même manière par NIS 2.
Comme expliqué dans notre précédent article de blog, les entités essentielles et les entités importantes se différencient selon leur taille et leur secteur. Les exigences minimales sont les mêmes pour les deux types d’entités mais c’est la forme de supervision et les sanctions qui varient. Les exigences de supervision renvoient aux mesures et contrôles mises en place par les autorités compétentes. On y retrouve la surveillance continue, les audits, ou encore les rapports de conformité.
Pour ce qui est de la supervision et de la rigueur du contrôle :
- Les entités essentielles devront se conformer aux exigences de supervision dès l’introduction de NIS 2 et pourront être contrôlées à tout moment
- Les entités importantes se verront affectés par une supervision a posteriori, c’est-à-dire une intervention des autorités s’ils sont notifiés de preuves de non-conformité
Les sanctions économiques, sont-elles aussi, différenciées :
- Les entités essentielles pourront être soumises à des amendes allant jusqu’à 10 millions d’euros ou 2% de leur chiffre d’affaires.
- Les entités importantes pourront être soumises à des amendes allant jusqu’à 7 millions d’euros ou 1,4% de leur chiffre d’affaires.
Ainsi, bien que la directive NIS 2 soit plus contraignante que NIS 1 dans l’ensemble, elle n’affectera pas toutes les organisations de la même manière, que ce soit en termes de rigueur des contrôles ou de valeur des amendes.
3.Le rôle de l’ANSSI en France vis-à-vis des sanctions de NIS 2
NIS 2 est une directive européenne, ce qui signifie que les pays doivent ensuite transposer le texte sur leur territoire en faisant passer une nouvelle loi et que chaque pays est en charge de la mise en application de cette loi. En France, c’est l’ANSSI, l’Agence nationale de la sécurité des systèmes d’information, chargée de la protection de la nation face aux cyberattaques, qui aura la responsabilité du contrôle et de l’application des sanctions de NIS 2.
Comme elle le rappelle sur son site internet, L’ANSSI pourra identifier les cas de non-conformité et réaliser des contrôles qui pourront amener à des sanctions. Dans ce cadre, l’agence travaille actuellement à la définition des mécanismes de contrôle qui seront adaptés au passage à l’échelle que représente NIS 2.
L’ANSSI ne joue pas seulement ce rôle de mise en œuvre des sanctions mais aussi d’accompagnement des organisations. Elle a déjà créé une version Bêta d’un portail numérique appelé “MonEspaceNIS2” qui vise à faciliter ses interactions avec les entités régulées. Ainsi, en plus des solutions du marché, les entreprises se verront accompagner par un acteur public et spécialiste pour assurer leur mise en conformité. L’ANSSI souhaite notamment aider les entreprises via trois canaux principaux :
- Actions de conseil
- Sensibilisation
- Assistance opérationnelle
Synthèse
Directive ambitieuse
NIS 2 est, de manière générale, plus ambitieuse que NIS 1, ce qui se reflète aussi par des sanctions plus lourdes visant à mieux garantir la mise en application.
Sanctions différentiées
Les sanctions seront toutefois différenciées entre les entités essentielles et les entités importantes qui n’auront pas le même degré de contrôle ni les mêmes amendes.
Rôle clé de l'ANSSI
En France, c’est l’ANSSI qui sera en charge de veiller au contrôle des organisations pour qu’elles respectent la directive mais aussi de les accompagner dans leur mise en conformité.
- https://phinasoft.com/de-nis-a-nis-2/
- https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:32022L2555
- https://www.solutions-numeriques.com/nis2-la-responsabilite-des-dirigeants-engagee-faites-le-test-pour-verifier-si-vous-etes-soumis-a-la-directive/
- https://yogosha.com/fr/blog/nis2-directive-guide-conformite/#en_resume
- https://www.pwc.fr/fr/publications/cybersecurite/directive-nis-2.html
- https://phinasoft.com/directive-nis-2-secteurs-concernes/
- https://www.ceeyu.io/fr/resources/blog/nis-2-entites-essentielles-et-entites-importantes-quelle-est-la-difference
- https://www.grantthornton.fr/fr/insights/articles-et-publications/2023/enjeux-et-points-cles-de-la-directive-nis2/
- https://cyber.gouv.fr/
- https://cyber.gouv.fr/la-directive-nis-2
- https://monespacenis2.cyber.gouv.fr/directive#demarche