Transposition NIS2 en France : État d’Avancement du Projet de Loi

La directive NIS2, adoptée par l’Union européenne en décembre 2022, vise à renforcer la cybersécurité des entités essentielles et des entités importantes dans l’ensemble de l’UE. La France, comme les autres États membres, doit transposer cette directive dans son droit national. Dans cet article, nous allons explorer l’état d’avancement de la transposition de la directive NIS2 en France, les enjeux pour les entreprises et les sanctions prévues en cas de non-conformité.

Introduction à la Directive NIS2

La directive NIS2 est une mise à jour de la directive NIS de 2016, qui visait à établir un niveau élevé de sécurité des réseaux et des systèmes d’information dans l’UE. La nouvelle directive élargit le champ d’application pour inclure 18 secteurs stratégiques, tels que l’énergie, les transports, la santé et les infrastructures numériques. Les entités opérant dans ces secteurs doivent mettre en œuvre des mesures de sécurité appropriées pour protéger leurs réseaux et systèmes d’information contre les menaces cybernétiques.

État d’Avancement de la Transposition en France

La France a manqué la date limite de transposition du 17 octobre 2024. Le projet de loi visant à transposer la directive NIS2 dans le droit français est actuellement en cours de discussion au Parlement. Les entreprises françaises doivent se préparer à mettre en œuvre les mesures de sécurité requises par la directive NIS2, qui incluent la mise en œuvre de mesures techniques et organisationnelles pour gérer les risques pesant sur la sécurité des réseaux et systèmes d’information, ainsi que la notification des incidents de sécurité à l’autorité compétente.

Les 18 Secteurs Concernés

La directive NIS2 concerne 18 secteurs stratégiques, répartis en deux annexes selon leur niveau de criticité. Les entités opérant dans ces secteurs doivent évaluer leurs risques et mettre en œuvre des mesures de sécurité appropriées pour protéger leurs réseaux et systèmes d’information.

• Énergie
• Transports
• Secteur bancaire
• Infrastructures de marchés financiers
• Santé
• Eau potable
• Eaux usées
• Infrastructures numériques
• Gestion des services TIC (B2B)
• Administration publique
• Espace
• Services postaux et de messagerie
• Gestion des déchets
• Fabrication et production
• Fabrication de produits chimiques
• Production et transformation de denrées alimentaires
• Fabrication d’équipements spécifiques
• Fournisseurs numériques

Sanctions en Cas de Non-Conformité

Les entités essentielles qui ne se conforment pas aux exigences de la directive NIS2 peuvent faire l’objet de sanctions administratives pouvant aller jusqu’à 10 millions d’euros ou 2% de leur chiffre d’affaires annuel mondial, selon le montant le plus élevé. Les entités importantes peuvent également faire l’objet de sanctions, pouvant aller jusqu’à 7 millions d’euros ou 1,4% de leur chiffre d’affaires annuel mondial.

Délais de Notification

Les entités doivent notifier les incidents de sécurité à l’autorité compétente dans un délai de 24 heures, suivie d’un rapport intermédiaire dans les 72 heures et d’un rapport final dans un mois.

Conclusion et Appel à l’Action

La transposition de la directive NIS2 en France est en cours, et les entreprises doivent se préparer à mettre en œuvre les mesures de sécurité requises. Il est essentiel de comprendre les exigences de la directive et de prendre les mesures nécessaires pour se conformer aux obligations de sécurité. Nous vous invitons à consulter notre page dédiée à l’accompagnement à la cybersécurité pour obtenir plus d’informations et de conseils sur la manière de se préparer à la directive NIS2.

En savoir plus sur notre accompagnement à la cybersécurité

Encadré Récapitulatif

La directive NIS2 vise à renforcer la cybersécurité des entités essentielles et des entités importantes dans l’UE. La France doit transposer cette directive dans son droit national. Les entreprises doivent mettre en œuvre des mesures de sécurité appropriées pour protéger leurs réseaux et systèmes d’information. Les sanctions en cas de non-conformité peuvent aller jusqu’à 10 millions d’euros ou 2% du chiffre d’affaires annuel mondial.

FAQ

Q : Qu’est-ce que la directive NIS2 ?

R : La directive NIS2 est une directive de l’UE qui vise à renforcer la cybersécurité des entités essentielles et des entités importantes.

Q : Quels sont les secteurs concernés par la directive NIS2 ?

R : La directive NIS2 concerne 18 secteurs stratégiques, répartis en deux annexes selon leur niveau de criticité.

Q : Quelles sont les sanctions en cas de non-conformité ?

R : Les entités essentielles qui ne se conforment pas aux exigences de la directive NIS2 peuvent faire l’objet de sanctions administratives pouvant aller jusqu’à 10 millions d’euros ou 2% de leur chiffre d’affaires annuel mondial.

Q : Quels sont les délais de notification ?

R : Les entités doivent notifier les incidents de sécurité à l’autorité compétente dans un délai de 24 heures, suivie d’un rapport intermédiaire dans les 72 heures et d’un rapport final dans un mois.

Q : Où puis-je obtenir plus d’informations sur la directive NIS2 ?

R : Vous pouvez consulter notre page dédiée à l’accompagnement à la cybersécurité pour obtenir plus d’informations et de conseils sur la manière de se préparer à la directive NIS2.