Depuis plusieurs semaines, nous avons consacré une série de 19 épisodes à la directive NIS 2 afin de répondre aux questions les plus fréquemment posées par les entreprises, les collectivités et les acteurs publics.
Au fil de ces échanges avec Marc-Antoine Ledieu, avocat spécialisé en cybersécurité, et James Partick Ngoupayou, expert NIS 2, un constat s’est imposé : la mise en conformité NIS2 est avant tout un exercice de compréhension, d’anticipation et de gouvernance.
Contrairement aux idées reçues, NIS 2 ne se résume pas à quelques mesures techniques de cybersécurité. La directive introduit un cadre réglementaire complet qui impacte l’organisation, les processus, les responsabilités de direction et les relations avec les partenaires et fournisseurs.
19 épisodes pour décrypter les enjeux de NIS 2
Au cours de nos accompagnements, nous constatons que les mêmes interrogations reviennent systématiquement :
- Suis-je concerné par NIS 2 ?
- Vais-je être audité ?
- Quels sont les risques pour les dirigeants ?
- Comment articuler NIS 2 avec ISO 27001 ou DORA ?
- Que faut-il faire en cas d’incident de cybersécurité ?
C’est pour répondre à ces questions que nous avons réalisé une série de 19 épisodes réunissant expertise juridique et expertise cybersécurité.
Découvrez l’ensemble des épisodes ci-dessous avant de retrouver les principaux enseignements que nous en retenons.
Les 5 enseignements que nous retenons de cette série
1er enseignement : savoir si l'on est concerné n'est pas toujours évident
L’une des questions les plus fréquentes concerne le périmètre d’application.
Au-delà des secteurs identifiés par la directive, de nombreux paramètres doivent être pris en compte :
- taille de l’organisation ;
- appartenance à un groupe ;
- statut juridique ;
- activités réellement exercées ;
- caractère critique de certains services.
Certaines situations nécessitent même une analyse juridique approfondie, notamment pour les structures atypiques, les groupes internationaux ou les organisations intervenant sur plusieurs secteurs d’activité.
2ème enseignement : NIS 2 est un sujet de gouvernance avant d'être un sujet IT
La directive introduit une responsabilité accrue des organes de direction.
Les dirigeants doivent désormais s’assurer que des mesures de gestion des risques sont mises en œuvre et que l’organisation dispose des capacités nécessaires pour prévenir, détecter et gérer les incidents de cybersécurité.
Cette évolution marque un changement majeur : la cybersécurité devient un enjeu stratégique et de conformité.
3ème enseignement : les partenaires et fournisseurs sont également concernés
Même lorsqu’une organisation n’entre pas directement dans le périmètre de NIS 2, elle peut être impactée indirectement.
Les entités essentielles et importantes devront renforcer leurs exigences vis-à-vis de leur chaîne de sous-traitance et de leurs fournisseurs critiques.
Cette dimension « supply chain » constitue l’un des changements les plus structurants introduits par la directive.
4ème enseignement : la conformité ne se limite pas à une certification existante
De nombreuses organisations disposent déjà de référentiels de sécurité tels qu’ISO 27001 ou sont soumises à des réglementations sectorielles comme DORA.
Ces dispositifs constituent des bases solides, mais ils ne garantissent pas à eux seuls la conformité NIS 2.
Une analyse des écarts reste indispensable afin d’identifier les exigences complémentaires à mettre en œuvre.
5ème enseignement : anticiper coûte toujours moins cher que subir
Les sanctions prévues par la directive peuvent atteindre plusieurs millions d’euros.
Mais au-delà de l’aspect financier, les conséquences opérationnelles, réputationnelles et organisationnelles d’un incident majeur sont souvent bien plus importantes.
Attendre la dernière minute pour engager sa démarche de conformité représente aujourd’hui le principal facteur de risque.
NIS 2 : une approche globale qui nécessite des expertises complémentaires
Au travers de cette série, nous avons constaté que les projets NIS 2 mobilisent simultanément plusieurs compétences :
- cybersécurité ;
- gouvernance des risques ;
- conformité réglementaire ;
- audit ;
- gestion des incidents ;
- accompagnement des dirigeants ;
- expertise juridique.
C’est précisément cette approche multidisciplinaire qui permet de transformer une obligation réglementaire en démarche de cybersécurité efficace et durable.
Comment SERMA Safety and Security accompagne les organisations ?
Les équipes de SERMA Safety and Security interviennent à chaque étape de la mise en conformité :
✔ Analyse d’applicabilité et qualification des entités
✔ Cartographie des exigences NIS 2
✔ Analyse d’écarts (Gap Analysis)
✔ Gouvernance et organisation de la cybersécurité
✔ Gestion des risques
✔ Préparation aux audits
✔ Gestion et notification des incidents
✔ Accompagnement des directions générales et RSSI
✔ Articulation avec les autres référentiels et réglementations (ISO 27001, DORA, etc.)
La directive NIS 2 représente un changement majeur pour de nombreuses organisations. Les entreprises qui anticipent dès aujourd’hui disposeront d’un avantage significatif lorsqu’interviendront les échéances réglementaires et les premiers contrôles.
Vous souhaitez évaluer votre niveau de préparation ou structurer votre feuille de route NIS 2 ?
Les experts SERMA Safety and Security sont à votre disposition pour vous accompagner dans votre démarche de mise en conformité.
