Combien, et surtout quelles seront les entreprises véritablement concernées par la transposition de NIS 2 en droit français ? Telle est la question. Si les textes de loi n’ont pas encore été publiés et que les arbitrages sont encore en cours, ce sont potentiellement plusieurs milliers d’entreprises françaises qui vont devoir se mettre en conformité avec NIS 2 dans les prochains mois.
Lors des Assises de la cybersécurité en octobre 2023, Vincent Strubel, directeur général de l’Agence nationale de la sécurité des systèmes d’information (Anssi), lui-même ne savait pas exactement combien d’entreprises seraient concernées.
Alors que le texte NIS avec ses OSE (Opérateurs de Services Essentiels) a concerné environ 300 entités en France, avec NIS 2, on évoque un nombre d’entreprises multiplié par 20 ou 30. En Europe, ce sont 160 000 entités qui devraient tomber sous la coupe du texte.
D’après l’Anssi, la directive NIS 2 devrait s’appliquer en France à des milliers d’entités dans près de dix-huit secteurs. Plusieurs types d’entités seront concernés, avec parmi elles des administrations centrales et des collectivités territoriales ou encore des entreprises allant des PME jusqu’aux groupes du CAC40.
Questions pour une transposition tardive
Les critères d’éligibilité définis par le texte de la directive européenne NIS 2 devront être transposés en droit national. Il y aura donc des variations d’un pays à l’autre. Ces critères portent sur le nombre d’employés, le chiffre d’affaires ou le bilan, et la nature de ses activités.
Pour l’instant, ces limites évoquées sont de 50 M€ de chiffre d’affaires et plus de 250 employés pour les entités essentielles, et de 50 à 250 employés et entre 10 à 50 M€ pour les entités importantes.
« La directive européenne publiée au journal officiel […] fixait un délai de transposition au 17 octobre 2024. Cela laissera très peu de temps aux entreprises pour se mettre en conformité. »
Garance MathiasAvocate associée, Mathias Avocats
L’Anssi précise : « il est important de noter que la directive prévoit un mécanisme de proportionnalité avec l’intégration de deux statuts d’entité régulée différents : les entités essentielles et les entités importantes. Les mécaniques de supervision ainsi que les exigences réglementaires seront allégées pour les entités importantes constituées en très grande partie de PME ».
À la lecture de la directive, on peut constater que les entités essentielles seront dans les domaines de l’espace, la santé, les banques et infrastructures de marchés financiers, les transports, les eaux potables et usées, les infrastructures numériques, l’énergie et les administrations publiques.
Les entités importantes sont les fabricants, producteurs, distributeurs de produits chimiques, le service postal, les services numériques, la gestion des déchets, et les fabricants de produits spécifiques tels que les équipements de transport, l’informatique, ou encore les dispositifs médicaux.
Mais déjà des certitudes
Autre point clé qui pourra avoir un impact fort sur le nombre d’entreprises concernées par le texte, la directive étend le périmètre à des acteurs de la chaîne logistique, notamment l’industrie manufacturière et les acteurs du numérique.
« Ces acteurs sont en effet de plus en plus ciblés par des cyberattaques qui visent à atteindre, à travers eux, des clients finaux d’importance plus critiques. Ils verront donc également leur niveau de sécurité numérique renforcé », précise l’Anssi.
Garance Mathias, Mathias Avocats
Garance Mathias, avocate Associée chez Mathias Avocats prévient : « nous n’avons pas encore connaissance du projet de loi transposant la directive NIS 2, ni même de son calendrier d’adoption. Celui-ci doit encore être débattu au parlement avant d’être voté. La directive européenne publiée au journal officiel le 14 décembre 2022 fixait un délai de transposition au 17 octobre 2024. Cela donne donc 9 mois à la France pour faire passer ce texte et surtout cela laissera très peu de temps aux entreprises pour se mettre en conformité ».
« Un fournisseur a priori non concerné par le texte pourrait l’être, s’il est amené à fournir des services à une entreprise soumise au texte. »
Garance MathiasAvocate associée, Mathias Avocats
L’avocate précise que chaque État garde une certaine latitude dans la transposition du texte dans sa législation nationale. De ce fait, il est encore difficile de connaître le nombre exact d’entreprises et collectivités qui entreront dans le champ d’application de ce texte. Si « l’Anssi a mené une série de consultations des acteurs de la cyber et des fédérations professionnelles lors du quatrième trimestre 2023 », il reste difficile de « dire combien d’entités seront concernées par le texte, mais ce nombre pourrait s’avérer très élevé. En effet, l’un des points clés de la directive est de chercher à sécuriser la chaîne de prestataires des entreprises. Un fournisseur a priori non concerné par le texte pourrait l’être, s’il est amené à fournir des services à une entreprise soumise au texte ».
Une délicate question d’échelle
Pour les professionnels de la cybersécurité, l’entrée en vigueur de NIS 2 va constituer un véritable changement d’échelle par rapport à NIS.
Jamal Basrire, Partner et Leader Cyber & Cloud Transformation chez PwC France & Maghreb explique : « NIS 2 va apporter de fait une modification significative du champ d’application de la réglementation européenne. Le périmètre de NIS intégrait en fait un certain nombre de secteurs dits hautement critiques, comme le secteur bancaire, le secteur de la santé, le secteur des transports, de l’eau potable, de l’énergie. Il concernait aussi le secteur de l’infrastructure numérique et de la gestion des services, des technologies de l’information et de la communication ». Mais là, « NIS 2 va apporter un élargissement de ce spectre. Aujourd’hui, nous estimons que le texte concerne 600 types d’entités, soit 10 000 entités au total ».
L’expert ajoute que le nombre de secteurs d’activité concernés passe à 18, avec les acteurs de la gestion de l’eau potable, de la gestion des déchets, la recherche, les services postaux et d’expédition, et l’administration publique.
Jamal Basrire précise que les fournisseurs de services numériques désignés seront eux aussi visés par le législateur. Devant la complexité de la directive et la confusion qui règne en attendant sa transposition en droit français, PwC a même créé un petit outil interactif pour savoir si l’on sera concerné ou pas par le texte.
Gérôme Billois, Wavestone
De son côté, Gérôme Billois, partner chez Wavestone, souligne : « il y aura un enjeu de passage à l’échelle à la fois pour les DSI, notamment ceux qui n’ont pas de RSSI dans leur équipe. Ce sera aussi un enjeu pour les intégrateurs et les sociétés de conseil qui vont faire face à une demande qui pourrait être explosive. L’Anssi doit positionner le curseur très précisément, car si beaucoup d’entreprises sont concernées et que le marché ne suit pas, ce sera déceptif et on va casser une dynamique de progrès ».
Le risque du trop ou pas assez
« Pour toucher toutes les PME concernées, le texte va devoir être poussé au niveau national, mais aussi au niveau régional et local. »
Gérôme BilloisPartner, Wavestone
De l’autre côté du spectre, il y a un risque que ce texte reste un peu lettre morte parce qu’il comporte trop d’exigences ou que l’on ne communique pas assez autour.
La transposition en droit français ultra-tardive va placer nombre d’entreprises dans une situation difficile et beaucoup auront du mal à se mettre en conformité rapidement : « nul n’est censé ignorer la loi et tout le monde doit se mettre en conformité, mais pour toucher toutes les PME concernées, le texte va devoir être poussé au niveau national, mais aussi au niveau régional et local, via les organismes professionnels comme les experts-comptables ou les commissaires aux comptes ».
Pour Aurélia Delfosse et Nicolas Pierre, les experts en Conformité d’Advens, cette question de savoir si on sera concerné ou pas par le texte ne se pose pas réellement : « il est inutile d’attendre une lettre officielle annonçant votre nomination à NIS 2 et pour cette deuxième itération l’Anssi a décidé d’appliquer la maxime “nul n’est censé ignorer la loi”.
Ce sera donc aux entreprises de se faire connaître auprès de l’autorité compétente quand le processus sera connu. Les secteurs concernés sont connus, de même que les seuils de CA. Seules les entreprises “limites” peuvent encore attendre plus de précision ou un contact de l’autorité compétente pour définitivement trancher ».
« Il est inutile d’attendre une lettre officielle annonçant votre nomination à NIS 2. L’Anssi a décidé d’appliquer la maxime “nul n’est censé ignorer la loi”. »
Aurélia Delfosse et Nicolas PierreExperts en Conformité, Advens
Les experts d’Advens soulignent les nombreuses exceptions, à l’image des fournisseurs DNS, considérés comme Entités Essentielles, quelle que soit leur taille. Ils préviennent : « si vous pensez être exclus, regardez la liste de vos clients et vérifiez s’ils ne sont pas dans un secteur concerné, car par répercussion, vous le serez en tant que sous-traitant ».
Enfin, Rayna Stamboliyska, fondatrice de RS Strategy, souligne que le texte va aussi toucher des entités non européennes : « si vous offrez des services au sein de l’Union européenne qui tombent dans le scope de NIS 2, alors vous devez désigner des représentants au sein de l’Union européenne. Cette représentation doit être établie dans l’État membre de l’Union où vous offrez des services ».
Pour approfondir sur Réglementations et Souveraineté
Garance Mathias,
Mathias Avocats
Gérôme Billois,
Wavestone
