Lors de la rencontre des spécialistes en conformité de l’AFCDP ce 31 mai à Rennes, plusieurs sujets ont été traités pendant cet événement, notamment une présentation de NIS2 par Anne-Laure Gaillard, Avocate fondatrice de WITHLAW et Christian Cévaër, Délégué à la sécurité numérique de l’ANSSI ( Agence Nationale de la Sécurité des Systèmes d’Information) de la région de Bretagne.
En effet, la directive NIS 2 a été publiée le 27 décembre 2022 au Journal Officiel de l’Union européenne et elle prévoit un délai de 21 mois pour que chaque État membre transpose en droit national les différentes exigences réglementaires. La Directive NIS 2 rentre donc en vigueur en France au plus tard en octobre 2024.
Cette directive s’appuie sur les acquis de la Directive NIS 1, mais, marquée par un changement de paradigme, tant à l’échelon national qu’à l’échelon européen. Face à des acteurs malveillants toujours plus performants et mieux outillés, touchant de plus en plus d’entités trop souvent mal protégées, la directive NIS 2 élargit ses objectifs et son périmètre d’application pour apporter davantage de protection.
Entités soumises à la Directive NIS 2
La Directive NIS 2 comprend des annexes 1 et 2 dans lesquelles il est indiqué les secteurs, sous-secteurs et les types d’entité soumis à la Directive NIS 2.
L’ANSSI aura la capacité de réaliser des contrôles pouvant amener à des injonctions en cas de non-conformité identifiée. Lors de la rencontre de l’AFCDP à Rennes, Christian Cévaër a profité de sa présentation de NIS 2 pour confirmer les propos de son Directeur Général sur le calendrier de répression de l’ANSSI pour la Directive NIS 2.
Tolérance de 3 ans accordée par l’ANSSI pour une conformité à NIS 2
Vincent Strubel, Directeur Général de l’ANSSI, dans son discours lors du forum Incyber tenu à Lille en mars dernier, a affirmé: “Il faut une progressivité pour étalonner le dispositif et accompagner notre propre montée en compétence à nous aussi ”. Le directeur a poursuivi pour préciser qu’il n’imagine pas une conformité totale avant trois (3) ans.
Côté exigences, le directeur précise (ou rappelle) qu’elles seront proportionnelles au risque et assure que le recours à des prestataires ou solutions qualifiées par l’Anssi sera recommandé mais en aucun cas imposé. “Ce n’est ni l’ambition, ni la base légale donnée par la directive”.
Ce délai de 3 ans de tolérance laissé doit permettre aux entités soumises à la Directive NIS2 une mise en conformité progressive, il est donc fortement déconseillé de le considérer comme un temps de pause du processus de mise en conformité de l’organisme soumis. Il est fort probable de s’attendre à des sanctions après le délai de 3 ans à l’image de ce qui a été mis en œuvre par la CNIL ( Commission Nationale de l’Informatique et des Libertés) pour le respect de la conformité en matière de cookies.
Quid du règlement DORA qui entre en application le 17 janvier 2025.
Sources: Forum Incyber, Rencontre de L’AFCDP à Rennes, solutions-numeriques.com
