La cybersécurité est devenue un enjeu stratégique pour l’Union européenne face à la multiplication des cyberattaques et à l’interconnexion croissante des infrastructures numériques. Pour y répondre, trois directives européennes ont été adoptées en 2022 : NIS 2, DORA et REC. Ces textes visent à renforcer la résilience des infrastructures critiques, la sécurité des systèmes d’information et la gestion des risques numériques. La France a engagé leur transposition dans le cadre d’un projet de loi majeur, qui impose de nouvelles obligations aux entreprises, collectivités et institutions financières.
Un projet de loi attendu mais une transposition encore floue
Ce projet de loi, actuellement en discussion, vient modifier en profondeur le cadre juridique de la cybersécurité. Il repose sur trois piliers :
- La directive NIS 2 (Network and Information Security 2), qui élargit la liste des secteurs soumis à des obligations de cybersécurité en passant de 6 à 18 secteurs critiques. Elle impose également des exigences accrues en matière de gestion des incidents et de résilience aux entreprises et collectivités concernées.
- La directive DORA (Digital Operational Resilience Act), qui s’applique au secteur financier, bancaire et assurantiel, en imposant des standards stricts de gestion des risques numériques et de cybersécurité. Elle vise à limiter l’impact systémique des cyberattaques sur l’ensemble de l’économie.
- La directive REC (Resilience of Critical Entities), qui modifie le dispositif français de sécurité des activités d’importance vitale (SAIV), en élargissant le champ des infrastructures concernées et en intégrant une approche axée sur la résilience plutôt que la seule protection.
Bien que cette transposition soit attendue et nécessaire, elle suscite des interrogations. La commission spéciale chargée de l’examen du projet de loi a relevé un manque de concertation avec les acteurs concernés et une définition parfois floue des périmètres d’application. Certaines entreprises et collectivités doivent elles-mêmes déterminer si elles entrent dans le champ de la réglementation, ce qui pose un problème de lisibilité et d’accompagnement.
Des obligations renforcées et des sanctions en cas de non-conformité
Les nouvelles exigences de ce projet de loi impliquent des changements significatifs pour les entreprises, collectivités et organismes publics concernés. Parmi les obligations les plus importantes, on retrouve :
- L’adoption de politiques de cybersécurité robustes, incluant des plans de gestion des risques et de résilience numérique.
- Une obligation de notification des incidents auprès des autorités compétentes (ANSSI, régulateurs sectoriels).
- Un renforcement des audits de cybersécurité, notamment pour les entités jugées critiques.
- Une responsabilité accrue des organes de direction, qui devront superviser activement les mesures de cybersécurité mises en place.
En cas de non-conformité, les sanctions prévues sont dissuasives. Les entreprises assujetties à NIS 2 encourent des amendes pouvant atteindre 10 millions d’euros ou 2 % de leur chiffre d’affaires mondial, tandis que celles soumises à DORA feront l’objet de contrôles renforcés par les autorités de supervision financière.
Un risque de surtransposition et des clarifications attendues
Un des points de vigilance soulevés par la commission spéciale concerne le risque de surtransposition réglementaire. Le projet de loi laisse de nombreuses dispositions à la charge de décrets d’application, ce qui pourrait alourdir le cadre réglementaire français par rapport aux autres États membres. Ainsi, 40 mesures nécessitent encore des précisions via des décrets en Conseil d’État, notamment sur la définition des secteurs concernés, les seuils d’application et les modalités de contrôle.
De plus, certains amendements proposés visent à assouplir les obligations pour certaines collectivités territoriales et à différer l’application des sanctions pour laisser aux organisations concernées le temps de s’adapter. Un autre enjeu clé est la mise en place d’une labellisation NIS 2, qui permettrait aux entreprises de valoriser leur conformité auprès de leurs clients, banques et assurances.
Un enjeu stratégique pour la cybersécurité en France
Avec ce projet de loi, la France s’aligne sur les objectifs européens visant à renforcer la résilience numérique et la cybersécurité des infrastructures critiques. Toutefois, des ajustements restent nécessaires pour garantir une transposition efficace et proportionnée, sans créer de contraintes excessives pour les acteurs économiques.
La réussite de cette réforme dépendra de la capacité du gouvernement à clarifier les modalités d’application, à accompagner les entreprises et collectivités dans leur mise en conformité et à éviter une surcharge réglementaire. Une communication et un soutien renforcés seront essentiels pour transformer ces nouvelles obligations en une véritable opportunité d’amélioration des pratiques de cybersécurité en France.
Notre Dossier à télécharger :
Unitae RGPD : un accompagnement stratégique pour une conformité optimale
Dans un contexte de renforcement des exigences réglementaires en matière de cybersécurité et de résilience numérique, Unitae RGPD se positionne comme un partenaire clé pour les entreprises, collectivités et institutions financières confrontées aux obligations issues des directives NIS 2, REC et DORA.
Notre accompagnement débute par un audit de conformité approfondi, permettant d’identifier les écarts entre les pratiques actuelles et les nouvelles exigences légales. Cet audit couvre l’ensemble des aspects réglementaires et opérationnels, y compris l’analyse des risques cyber, l’évaluation des processus internes et la cartographie des dépendances avec les sous-traitants et prestataires externes.
Nous assistons nos clients dans la mise en place de politiques et de procédures adaptées, notamment à travers l’élaboration de PSSI (Politique de Sécurité des Systèmes d’Information), de registres des incidents et de plans de résilience conformes aux normes européennes et aux recommandations de l’ANSSI. Nous assurons également la mise en conformité avec les nouvelles obligations de supervision et de notification des incidents, en veillant à simplifier les processus et à garantir un alignement avec les attentes des autorités compétentes.
En complément, Unitae propose des formations ciblées pour sensibiliser les équipes aux enjeux de cybersécurité et aux nouvelles obligations légales. Ces sessions, adaptées aux besoins spécifiques des DPO, RSSI et responsables opérationnels, permettent d’assurer une compréhension claire des réglementations et de faciliter leur application au sein des organisations concernées.
Enfin, Unitae offre un accompagnement stratégique et opérationnel dans la gestion des contrôles et des sanctions potentielles. Nous aidons nos clients à anticiper les vérifications réglementaires, à structurer leurs réponses aux demandes des autorités et à limiter les risques liés aux éventuelles non-conformités.
Avec une approche pragmatique et un suivi personnalisé, Unitae RGPD garantit une mise en conformité fluide, efficace et adaptée aux enjeux spécifiques de chaque organisation, tout en optimisant leur gouvernance des données et leur résilience face aux cybermenaces.
