Le contexte :
La directive NIS 2 a été proposée par la Commission européenne le 16 décembre 2020. La nomenclature de la proposition indique parfaitement les objectifs de cette nouvelle législation européenne, à savoir “Proposition de DIRECTIVE DU PARLEMENT EUROPÉEN ET DU CONSEIL concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, abrogeant la directive (UE) 2016/1148” (Directive NIS 2). En tant qu’évolution par rapport à la Directive NIS 1, elle apporte de nombreuses modifications et se fixe des objectifs et conditions ambitieux. Suite à l’adoption de la directive en 2022, elle est entrée en vigueur le 16 janvier 2023, avec un délai de transposition pour les États membres fixé au 17 octobre 2024.
Les États membres ont déjà commencé les projets de lois de transposition, la Hongrie étant l’État membre au stade de transposition le plus avancé (cf. enregistrement d’une entreprise va avoir un coût important). En tout état de cause, peu importe l’État membre de l’UE, un constat s’impose : personne ne sait concrètement quel serait le contenu et quelles seraient les conséquences concrètes pour les entreprises, une situation similaire à celle vécue lors de la transposition de la Directive RGPD en 2018. Alors qu’elle est la situation en France?
La proposition de la loi résilience :
Avec l’arrivée incontournable de la date limite pour la transposition de la directive NIS 2, le législateur français tente de présenter pour la première fois le projet de loi de transposition nommé “Projet de loi relatif à la résilience des activités d’importance vitale, à la protection des infrastructures critiques, à la cybersécurité et à la résilience opérationnelle numérique du secteur financier” pour le législateur français, ou plus simplement, loi “Résilience” pour tout le monde autre.
La proposition de loi de transposition a été décalée suite à la dissolution du Parlement, ce qui a entraîné un retard considérable pour le législateur français, ainsi que pour toutes les entités visées par la présente Directive. Néanmoins, le premier texte pose des contours assez solides. La loi transpose assez bien les exigences posées par la directive NIS 2 :
- Met en œuvre les exigences de la directive NIS 2 en France.
- Cible la résilience des activités d’importance vitale, la protection des infrastructures critiques, et la cybersécurité.
- Intègre des mesures spécifiques pour les opérateurs d’importance vitale et les entités fournissant des services essentiels.
Quant aux sanctions financières, l’article L. 1332-16 III indique que : “…Le montant de l’amende est proportionné à la gravité du manquement et ne peut excéder… 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial hors taxes de l’exercice précédent, pour les opérateurs d’importance vitale, et 7 millions d’euros ou 1,4 % du chiffre d’affaires annuel mondial hors taxes de l’exercice précédent, pour les entités importantes.” À ces sanctions pécuniaires s’ajoutent les sanctions “d’image”, puisque le projet de loi prévoit dans le même article IV la possibilité pour “la commission des sanctions [d’ordonner] la publication, la diffusion ou l’affichage de la sanction pécuniaire ou d’un extrait de celle-ci, selon les modalités qu’elle précise. Les frais sont supportés par la personne sanctionnée.”
La proposition de loi prévoit également la possibilité d’amendes pour les dirigeants (allant jusqu’à 150 000 euros et restriction d’activité) ainsi que la responsabilité des personnes morales en cas de non-respect des obligations issues des articles L. 1332-1 à L. 1332-13.
Le projet de loi français visant à transposer la directive NIS 2 en droit national marque une étape importante dans la consolidation de la sécurité et de la résilience des infrastructures critiques et des services essentiels. Au regard de la masse de nouvelles obligations, on ne peut que conclure que la mise en œuvre effective de cette directive sera beaucoup plus coûteuse et difficile que dans le cas du RGPD.
Néanmoins, certaines modalités d’application et questions pratiques restent sans réponse. Quelle serait l’étendue des obligations pour les entités visées par le régime des obligations renforcées dans le domaine de la cybersécurité? Une entreprise de catering ou une formation par un formateur externe doit-elle être conforme aux exigences de la Directive NIS 2? Une succursale spécialisée dans la vente de voitures électriques pour enfants, rattachée à un organisme d’importance vitale, tel qu’un fabricant de voitures, doit-elle assurer la conformité de ces produits?
Nous le saurons dans les prochains mois.
Sources :
- Directive NIS 2 texte intégral
- EU NIS2 in Hungary
- Proposition de la directive NIS 2 par la Commission européenne
- Après la dissolution, la transposition de la directive NIS 2 en stand-bye