Aller au contenu
Kreomnis.Vigie
regulation

NIS2 en France : la loi est passée, l'ANSSI prend le manche

04/11/2024 · Kreomnis
Source d'origine : Journal Officiel(30/10/2024)

Le rappel express

La directive européenne NIS2 (UE 2022/2555) imposait aux États membres de la transposer en droit national au plus tard le 17 octobre 2024. La France a tenu - de justesse - avec la loi de résilience publiée fin octobre.

Le scope est sans précédent : on passe d'environ 500 entités OIV (sous NIS1 + LPM) à plusieurs milliers d'entités essentielles et importantes.

Ce qui change vraiment

  • L'ANSSI garde le rôle d'autorité de contrôle (et l'élargit). Elle peut désormais sanctionner financièrement et opérer des inspections sur site.
  • Les dirigeants sont personnellement responsables. Mention explicite dans le texte : la cybersécurité ne peut plus être "déléguée et oubliée".
  • 24 h / 72 h / 1 mois : c'est le rythme de notification d'incident. La fenêtre des 24 h est probablement la plus structurante - il faut un process opérationnel pré-rédigé, pas une réflexion à chaud.
  • Sous-traitants critiques : il faut une gestion contractuelle des risques de la chaîne d'approvisionnement. Ce point va générer une vague de relectures contractuelles dans tous les contrats SaaS / cloud / managed services pour les 12 prochains mois.

Ce que Kreomnis en pense

Trois points :

  1. C'est plus une mise à jour qu'une révolution. Les RSSI matures faisaient déjà 80 % de ce qui est demandé. Le texte donne surtout un mandat juridique pour transformer "bonne pratique" en "exigence direction".

  2. La fenêtre de notification à 24 h est l'enjeu opérationnel n° 1. Très peu d'organisations ont un processus capable de produire une notification valide à l'ANSSI en 24 h après détection. Faites le test : simulez un incident, démarrez votre chrono, notifiez à blanc, mesurez.

  3. Les ETI vont devoir s'équiper. Une grande partie du tissu industriel français est concerné pour la première fois par une obligation cyber lourde. Le marché des MSSP / CERT externalisés va exploser dans les 18 prochains mois.

Pour la mise en œuvre concrète, notre article détaillé déroule une roadmap réaliste sur 12 mois.

Source : Journal Officiel - Loi de résilience et fiches ANSSI.

#NIS2#ANSSI#regulation#France