La réglementation, moteur de la sécurisation
Il suffit de jeter un oeil à la liste des entités concernées par NIS2 pour comprendre que L’OT est en première ligne de la réglementation européenne. On trouve ainsi l’énergie, les transports, la santé, l’eau, la gestion des déchets, la fabrication, production et distribution de produits chimiques… « NIS2, c’est vraiment la sécurité opérationnelle, le coeur du dispositif, c’est l’industrie, L’OT » nous explique Marc- Antoine Ledieu, avocat spécialiste du numérique. Avec 10 000 entreprises concernées en France, une multiplication par 30 par rapport à NIS1, le champ des entités concernées est substantiellement élargie, qu’elles soient entités essentielles ( EE) ou entités importantes ( EI). Les nouvelles obligations, particulièrement détaillées quant aux mesures à mettre en place, au signalement d’incidents aux autorités ou encore de formations des dirigeants et collaborateurs, assorties à un régime de sanctions qui n’est pas sans rappeler le RGPD, accéléreront- elles la prise de conscience et la maturité des industriels ? Amaury Ortega le pressent, NIS2 « va élever les standards de sécurité de nos clients » . « Une des premières choses qu’elle implique, c’est de mettre en place des politiques et des analyses de risques, donc il faut a minima connaître ses assets et par extension, travailler la réponse à incident » note- t- il. Marc- Antoine Ledieu voit, quant à lui, un régime de sanctions plus efficace que dans NIS1 et, « dans l’esprit, on vous oblige à organiser votre gouvernance, à vous former et à vous sensibiliser au risque. Enfin, vous devez prendre des mesures de sécurité techniques obligatoires qui permettent d’être à l’état de l’art. C’est une directive technique comme on n’en a jamais vu, un niveau de détails inédit : L’UE a pris un texte volontairement détaillé qui colle à 27 001 » . D’autant que ces obligations sont vérifiables puisque quantifiables. L’avocat tempère toutefois le propos, puisqu’il manque dans NIS2 le dispositif touchant les prestataires, laissé à la charge des entités régulée. « Un voeu pieu, peut- être, qui oblige de surveiller tout l’écosystème. Sur le papier, très bien pensé, mais il faut que ça monte au cerveau de tout le monde. Or, la cyber donne souvent l’impression que c’est du pognon dépensé pour rien » . Et le juriste de conclure : « ça va prendre, mais ça va prendre du temps » .