Exigences en matière de conformité
Avec l’introduction de la directive 2022/2555 de l’UE, appelée NIS 2, les exigences en matière de conformité dans les entreprises ont augmenté. La NIS 2 réagit aux menaces de cyberattaques dans l’UE. La directive régit la cybersécurité et la sécurité de l’information des entreprises et des institutions. Les cyberattaques sont désormais considérées mondialement comme l’un des plus grands risques pour les entreprises.
La NIS 2 remplace la directive 2016/1148 de l’UE (NIS 1) et vise à améliorer la cybersécurité dans l’Union Européenne et à mieux protéger les entreprises. La mise en œuvre de la directive NIS-2 pose donc également des exigences accrues en matière de gestion des risques et de conformité dans de nombreuses entreprises. Si les mesures ne sont pas mises en œuvre comme il se doit, des sanctions pourraient en résulter, selon le cabinet d’avocats MTR Legal Rechtsanwälte.
L’UE a adopté la directive NIS-2 en 2023 et d’ici à 2025, les États membres doivent la transposer en droit national. Les entreprises concernées par la directive dépendent principalement de la nature de leur activité. La directive a été étendue à d’autres entreprises considérées comme essentielles (essential) et importantes (important). Cela conduit à une augmentation significative des entreprises et institutions qui doivent remplir des obligations légales envers l’Office fédéral de la sécurité des technologies de l’information (BSI).
Infrastructures critiques concernées
Aux infrastructures critiques déjà couvertes par la directive NIS-1 comme l’énergie, le transport, la santé, les finances, la gestion de l’eau et l’infrastructure numérique, la directive NIS-2 concerne d’autres secteurs. Parmi ceux-ci figurent les services électroniques publics, d’autres services numériques tels que les plateformes sociales, la gestion des eaux usées et des déchets, les services postaux et de messageries, l’administration publique ou les fabricants de produits critiques. Selon les estimations, environ 29 000 entreprises en Allemagne, tous secteurs confondus, seront concernées par la mise en œuvre de la directive NIS-2. Les entreprises de taille moyenne et les grandes entreprises des secteurs critiques seront principalement appelées à mettre en place des mesures appropriées de cybersécurité et à établir une conformité efficace. Elles seront également tenues d’informer les autorités compétentes des incidents de sécurité entraînant des perturbations ou des dommages significatifs.
La directive NIS-2 comprend également des dispositions pour la supervision, l’application et les évaluations par les pairs volontaires, afin de renforcer la confiance mutuelle et la cybersécurité dans toute l’Union Européenne. Cela signifie également que la direction est responsable si les mesures de gestion des risques de cybersécurité ne sont pas respectées.
Réaction aux attaques sur la cybersécurité
Avec la directive NIS-2, un réseau d’équipes de réaction aux incidents de sécurité informatique est également mis en place pour échanger sur les menaces sécuritaires et réagir convenablement aux incidents. De plus, le réseau européen des organisations de liaison pour les crises cybernétiques est créé. Ce réseau soutient un échange régulier d’informations entre les États membres et les organes de l’UE pour pouvoir réagir aux incidents et crises de grande envergure.
La façon dont la NIS 2 sera transposée dans le droit national en Allemagne n’est pas encore déterminée. En raison des élections anticipées au Bundestag, la transposition a été retardée. Ce qui est certain, c’est qu’avec la mise en œuvre, la cybersécurité deviendra également un sujet pour de nombreuses entreprises de taille moyenne.
Les entreprises doivent mettre en œuvre des mesures de sécurité
La NIS 2 les met au défi de mettre en œuvre les mesures de sécurité nécessaires pour protéger les données et les infrastructures critiques contre les cyberattaques potentielles. À cette fin, les mesures techniques et organisationnelles nécessaires doivent être prises. Si l’entreprise devient victime d’une cyberattaque, elle doit avoir des plans pour contenir rapidement les dommages et restaurer les systèmes. De plus, les autorités compétentes doivent être informées. En outre, les entreprises doivent effectuer régulièrement des tests pour détecter et éliminer les vulnérabilités. La cybersécurité doit également exister au sein de la chaîne d’approvisionnement. Par conséquent, les risques doivent également être traités ici.
La mise en œuvre de la directive NIS-2 représente des défis pour une conformité efficace dans les entreprises concernées, d’autant plus que les directeurs et les organes de direction peuvent être personnellement responsables si les mesures de sécurité requises ne sont pas mises en œuvre.
MTR Legal Rechtsanwälte aide les entreprises à mettre en œuvre des systèmes de conformité efficaces et veille à ce que les exigences légales soient remplies. En tant que cabinet d’avocats d’affaires, MTR Legal conseille en compliance et d’autres sujets de droit pénal des affaires.
N’hésitez pas à nous contacter !
