Zoom sur la Directive NIS2 avec Marianne Schaffner, Associée, Gowling WLG.
Category
🗞
NewsTranscription
00:00On commence tout de suite ce Lex Inside, on va parler de la directive NIS2 avec mon invité
00:15Marianne Schaffner associée chez Goling WLG. Marianne Schaffner bonjour. Bonjour Arnaud.
00:21On va parler ensemble directive NIS2, cybersécurité, cyber résilience mais avant
00:27toute chose pouvez-vous nous parler du paquet cybersécurité et du cadre européen dans lequel
00:33il s'inscrit ? Oui tout à fait donc en Europe il y a ce qu'on appelle le paquet dit cybersécurité
00:42cyber résilience qui comprend plusieurs textes. Donc il y a ce fameux texte RGPD dont on a tant
00:48parlé qui protège les données. Il y a eu la première directive NIS qu'on n'appelait pas 1
00:53mais la toute première directive NIS. NIS que ça veut dire c'est les nouveaux systèmes
00:56d'information c'était donc l'acronyme anglais. Ensuite nous avons eu l'IA Act donc le règlement
01:05sur l'intelligence artificielle et puis nous avons eu ce qu'on appelle NIS2 qui aurait dû être
01:11transposé en octobre 2024 mais la France a connu quelques secousses devant le parlement ces derniers
01:20mois. Donc en fait pourquoi la commission et l'Europe s'étaient intéressés effectivement à la
01:27cybersécurité c'est qu'on vit dans un monde qui est tout est dans les systèmes d'information
01:32aujourd'hui et dans un monde de risque effectivement en cyber et l'évaluation qui avait été faite par
01:39la commission en 2021 montrait que la cybercriminalité pouvait impliquer un dommage à
01:43hauteur de 5,5 milliards. Donc l'Europe a décidé de se doter d'un cadre qui permettait et qui
01:50oblige les entreprises effectivement à prendre des mesures pour préserver non seulement leurs
01:55propres données mais les données des tiers donc les données personnelles mais également les
02:01données de leurs sous-traitants, les données toutes données industrielles et pour éviter
02:05effectivement là une cyberattaque. Donc en fait quand on parle de cybersécurité en fait il y a
02:11deux trois piliers dans la cybersécurité. Il y a d'une part la prévention d'abord, il y a la
02:17protection et ensuite il y a la réparation et donc la notification. Alors on va rentrer dans le
02:23vif du sujet, on va parler de cette directive NIS 2, quel est son champ d'application et quelles
02:28sont les obligations de cette directive NIS 2 ? Alors son champ d'application a été étendu par
02:34rapport à NIS 1. Auparavant on avait 19 secteurs qui étaient concernés, aujourd'hui on a 35 donc
02:41c'est pratiquement tous les secteurs confondus, que ce soit la gestion de l'eau, la gestion des
02:47déchets, les services postaux, les services de fabrication, de production de dispositifs médicaux,
02:53le secteur de la santé. Donc en fait c'est très très large les secteurs qui vont être impliqués
03:00puisqu'on a 35. Qui va être également concerné ? Eh bien ce sont les entreprises et aujourd'hui
03:08en réalité avec la directive NIS 2 en fait on a compté c'est que 160 000 unités au sein de l'Union
03:15Européenne vont être concernées, en France 15 000. Pourquoi c'est énorme ? 15 000 entreprises et
03:21administrations en France vont être concernées par cette directive parce qu'il y a des seuils
03:26qui ont été prévus, c'est à dire des seuils de chiffre d'affaires. Donc toute entreprise qui a
03:32un chiffre d'affaires qui est compris entre 10 et 50 millions va être concernée et qui auront
03:37entre 50 et 250 employés. Donc ensuite on a deux catégories, on a des entreprises dites
03:43essentielles qui auront un chiffre d'affaires qui sera supérieur et puis il y a les autres
03:48entreprises qui sont des entreprises importantes mais toutes sont concernées. Quelles sont les
03:54obligations de conformité de gestion des incidents ? Alors les obligations sont les mêmes qu'on soit
04:00essentielle ou importante. En revanche c'est le timing qui est différent. Les entreprises
04:08essentielles donc les plus grosses entreprises en fait ont une obligation de procéder à un
04:13audit amont de toutes les mesures tandis que les entreprises importantes ne devront justifier des
04:21mesures qu'elles ont prises qu'une fois qu'il y aura eu une notification d'un breach. Donc
04:31qu'est ce qu'il faut effectivement faire ? C'est qu'il faut rapporter la preuve de ce que des
04:36mesures ont été mises en place. Quelles sont ces mesures ? Il y a notamment avoir bien protégé
04:44la formation, avoir assuré auprès de ses salariés des formations, que les salariés aient tout à fait
04:51conscience des mesures à prendre pour protéger les dites données, la protection par les différents
04:58mots de passe et aussi le fait que les sous-traitants vont être soumis à toutes ces
05:05mesures donc il faut imposer à ses propres sous-traitants de mettre également des mesures
05:09de cybersécurité en place. Donc en fait il y a tout un champ de mesures à mettre en place avec des
05:15niveaux de sécurité différents et donc ce qui impose à toutes les entreprises qu'elles soient
05:21essentielles ou importantes à faire un audit. Alors on va aller sur les mesures de cyber
05:28résilience. Quels sont-elles ? Est-ce qu'il y a un état des lieux des mesures à adopter en la
05:35matière ? Oui les mesures c'est tout d'abord assurer une sauvegarde régulière de ses propres
05:42données, avoir un plan de continuation qui soit en place lorsqu'il y a une alerte en réalité,
05:50faire des tests de restauration, faire un plan de reprise après un sinistre, il faut faire un
05:59suivi d'éventuelles intrusions et faire ensuite un audit régulier et comme je disais former ses
06:08salariés. C'est vraiment la formation qui montrera que l'entreprise aura déjà pris des mesures
06:15également raisonnables et ce j'ai envie de dire au stade des plus petites entreprises. Si on peut
06:20rapporter la preuve de ce que les salariés ont conscience de la nécessité de mettre en place des
06:27mesures de cyber sécurité déjà ça sera un indice de compliance à la directive. Et on saura d'autant
06:35plus réagir quand il y aura des failles de sécurité ? Voilà et en cas de faille de sécurité il y aura
06:40une obligation de faire une première notification immédiatement dans les 24 heures et ce à une
06:48autorité qui aura été désignée donc il y a de fortes chances pour qu'en France ce soit l'ANSI,
06:52donc l'agence nationale de sécurité des services d'information. Et puis ensuite après cette
06:59notification dans les 24 heures il y a un rapport à faire et dans le mois qui suit il y aura un
07:05rapport qui établira toutes les failles et quelles sont les mesures qui ont été mises en place,
07:10quel est le plan de récupération, le plan de continuité. On voit que c'est très encadré.
07:15C'est très encadré comme l'Europe le fait toujours. Pour finir quels liens peut-on faire
07:20entre cybersécurité et secret des affaires ? Alors c'est vrai que ce lien ne semble pas
07:25évident a priori ce qui m'étonne d'ailleurs puisque la directive sur les secrets d'affaires
07:34qui a été transposée en droit français en 2018 et bien impose aux entreprises qui
07:43invoquent un secret d'affaires c'est de prendre des mesures raisonnables pour maintenir leur
07:49secret d'affaires secret puisque la condition sine qua non du secret d'affaires c'est qu'il soit
07:53secret. Bien sûr. Et que donc toutes ces mesures raisonnables qui doivent être mises en place en
08:00réalité on peut regarder ce qu'on fait dans l'ISDE, les différentes mesures sur la gestion des mots
08:07de passe, la formation des salariés, l'audit. Pourquoi ? Parce qu'aujourd'hui où se trouvent
08:11les secrets d'affaires dans les entreprises, sur leur système d'information. Bien sûr.
08:17Donc en réalité je trouve que les mesures qui ont été prévues dans la directive NIS2
08:24devraient être examinées par toutes les entreprises qui ont des secrets d'affaires afin qu'elles
08:30puissent mettre en oeuvre les mesures qui sont imposées au titre de NIS2. C'est là où moi je
08:34fais ce lien parce qu'on protège les données par NIS2 et un secret d'affaires c'est une
08:40donnée industrielle qui est souvent l'actif essentiel de beaucoup d'entreprises. On va
08:45conclure là-dessus. Merci Marianne Schaffner. Je rappelle que vous êtes associée au sein du
08:49cabinet Goaling WLG. Merci Arnaud. Tout de suite l'émission continue on va parler du
08:55cumul entre un mandat social et un contrat de travail.