Les eurodéputés doivent donner leur approbation finale le 10 novembre aux nouvelles règles censées harmoniser la cybersécurité de l’Union européenne. Un point rapide sur ce que va changer cette nouvelle directive, notamment en termes de responsabilité de l’entreprise.
L’ancienne directive NIS se cantonnait presque exclusivement à des recommandations et ne ciblait que certaines tranches de l’économie comme l’énergie, des transports, les banques et institutions financières, la santé, les réseaux d’eau et certaines infrastructures numériques. La NIS 2 va étendre tout cela aux administrations publiques, le secteur spatial, les fournisseurs de services numériques, les réseaux d’eaux usées et de gestion de déchets, les services postaux, l’alimentation ou encore les fabricants de produits chimiques et pharmaceutiques. Bref l’ensemble quasi-total des acteurs économiques.
Mais cela n’est pas le seul changement. Principalement passive et basée sur le conseil auparavant, la directive européenne va devenir active et surtout coercitive. En effet, en cas de non-respect de ces nouvelles règles, les entités essentielles s’exposeront en effet à une amende administrative maximale de 10 millions d’euros ou de 2% du chiffre d’affaires annuel mondial de l’entreprise sur l’exercice précédent, le montant le plus élevé étant retenu.
On peut rétorquer que cela ne concerne que les très grosses entreprises… En fait non, car les sous-traitants de ces grands groupes seront par ricochet responsabilisés et peuvent entrainer leur client à recevoir les foudres de l’UE en cas de non-respect des dites règles. Aux grands comptes de faire le nécessaire pour que leurs sous-traitants respectent la nouvelle directive. Ce qui voudra dire, soit les TPE et PME se plient à la directive NIS 2 soit elles ne pourront sans doute plus garder leur client.
On le sait depuis de long mois, la cybersécurité est dans le viseur de l’UE, l’actualité en Ukraine y étant pour beaucoup, certes, mais pas que et l’ANSSI, elle aussi protectrice, va sans doute aussi se transformer en organisme de sanctions pour les acteurs du monde économique qui ne feront pas l’effort de prendre en compte la cybersécurité.
Laisser un commentaire