NIS 2 : à quelles éventuelles sanctions s’attendre ?
La directive NIS 2 prévoit un cadre de sanction très inspiré de celui du RGPD, assorti de systèmes de supervision différents selon la criticité de l’entité concernée. Mais certaines questions sont encore sans réponse.
La grande nouveauté de NIS 2, c’est l’introduction d’un régime de sanctions rappelant celui du RGPD : « à l’image du RGPD, NIS 2 définit une grille de sanctions en fonction du type d’acteur, de son chiffre d’affaires et de son nombre d’employés », résume Gérôme Billois, partenaire chez Wavestone.
Jamal Basrire, Partner, Leader for Cyber & Cloud Transformation pour PwC France & Maghreb, relève toutefois que « ces sanctions vont vers plus de sévérité que ce qu’on pouvait avoir auparavant », avec notamment « le fait d’engager la responsabilité de la direction ». Pas n’importe laquelle, sa responsabilité pénale, du moins dans certains cas.
Garance Mathias, avocate associée chez Mathias Avocats, précise un peu la logique : « en cas de violation fréquente des obligations de cybersécurité, les États membres pourront prévoir des sanctions d’ordre pénal ».
En fait, la différence va résider notamment dans le secteur d’activité : « les entités essentielles opèrent dans les domaines de l’espace, la santé, les banques et infrastructures de marchés financiers, les transports, les eaux potables et usées, les infrastructures numériques, l’énergie et les administrations publiques ».
Gérôme BilloisPartenaire, Wavestone
De leur côté, les entités importantes « sont les fabricants, producteurs, distributeurs de produits chimiques, le service postal, les services numériques, la gestion des déchets, les fabricants de produits spécifiques (équipements de transport, informatique, dispositif médical) ».
Aurélia Delfosse et Nicolas Pierre, experts conformité chez Advens, expliquent que les sanctions financières pourront atteindre « 1,4 % pour les entreprises importantes ou 2 % pour les entreprises essentielles, du chiffre d’affaires mondial ». Avec un plafond à 7 millions d’euros pour les premières et à 10 millions pour les secondes, complète Jamal Basrire.
Pour Aurélia Delfosse et Nicolas Pierre, pas de doute, « le texte n’est donc pas à prendre à la légère et toute anticipation est à réaliser, beaucoup d’actions pouvant être entreprises avant la transposition française ».
Pour Gérôme Billois, « la grande question portera sur les capacités de contrôle de l’État. Qui sera en mesure de faire d’éventuels contrôles et comment ces contrôles vont-ils être diligentés ? » Pour lui, « il s’agit déjà de l’une des limites du RGPD, car il faut qu’il y ait une plainte d’individus pour qu’un contrôle soit diligenté ».
L’Agence nationale de la sécurité des systèmes d’information (Anssi) a des éléments de réponse : la directive NIS 2 « inclut des distinctions dans le régime de supervision : ex ante pour les entités essentielles et ex post pour les entités importantes ».
Aujourd’hui, un certain flou demeure, mais l’Anssi indique travailler « à la définition de mécanismes de contrôle justes, proportionnés et adaptés aux acteurs ». Ces mécanismes de contrôle et de sanction « feront l’objet d’une validation dans le cadre du processus de transposition nationale actuellement lancé ».