• Toutes nos formations
    • Fiscalité
    • Patrimoine
    • Immobilier
    • Comptabilité
    • Consolidation-Normes IFRS
    • Compliance, audit et risques
    • Gestion-Finance
    • Paie
    • Droit social-GRH
    • Droit des affaires
    • Banque-Assurance
    • Performance individuelle et collective by Elegia
  • Francis Lefebvre formation
    • L'entreprise
    • Nos valeurs
    • Nos équipes
    • Nos 6 engagements clients
    • Nos clients
  • Pédagogie
    • Notre expertise pédagogique
    • Nos intervenants
    • Innovations
    • Notre offre de formation
    • Nos homologations
    • Nos partenaires
  • Blog
    • Toutes nos actualités
    • Évènements
  • Infos pratiques
    • Comment vous inscrire
    • FAQ
    • Nos centres de formations
    • Plan d'accès
    • Étapes-clés de votre formation
  • Contactez-nous
  • Accueil
  • Actualités
  • Veille
  • IT : Bilan de la directive NIS pour de lutter contre les cyber-attaques
Droit des affaires

IT : Bilan de la directive NIS pour de lutter contre les cyber-attaques

Les cyberattaques coûtent aux entreprises plusieurs centaines de millions d’euros chaque année dans le monde. Pour combattre ce fléau, la "directive NIS" est entrée en vigueur en août 2016, pour assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information d’intérêt général à l’échelle de l’Union Européenne. KPMG a publié en avril une première étude sur l’application de cette directive et un état des lieux par pays.

Dans un contexte où le risque lié aux attaques informatiques est au plus haut en France et en Europe, la "directive NIS"  (Network and Information System Security) a pour objectif de combattre les cyberattaques majeures (cyber guerre et sabotage) ciblant les services considérés comme essentiels pour l’état et pour les populations. En France, cette directive a été transposée en loi à partir de mai 2018 puis en décrets et arrêtés. Elle s’applique à huit secteurs d’activité : l’énergie, les transports, la banque, les soins de santé, l’eau potable, les infrastructures numérique et financière, et finalement les fournisseurs de services numériques (cloud, moteurs de recherche …). KPMG a publié en avril une première étude sur l’application de cette directive et un état des lieux par pays.

Avant l’entrée en force de la directive, près de la moitié des pays de l’Union Européenne n’avait pas de législation en matière de cybersécurité. À ce jour, tous les pays membres de l’UE n’ont pas encore complètement intégré la directive dans leur réglementation nationale. À la date d’échéance de novembre 2018, pourtant fixée par le texte de la directive, plus de la moitié des états Européens n’avait pas encore défini la liste des entreprises opérant les services dits essentiels et donc soumis à la nouvelle réglementation. La France et l’Allemagne, qui avait déjà une réglementation, n’ont pas été confrontées à ces difficultés de mise en œuvre. L’Espagne, l’Italie et les Pays-Bas rattrapent leur retard rapidement.

Les petites entreprises françaises ont pris du retard

En France, certains secteurs, tels que l’énergie, les télécommunications, les transports, la banque et l’industrie avaient déjà une réglementation depuis 2016. Celle-ci ne sera pas modifiée. Le rapport KPMG  constate toutefois que dans le cadre de cette réglementation préexistante, certains secteurs et opérateurs n’auront pas terminé leur mise en conformité dans le délai de trois ans dont ils disposaient entre 2016 et 2019.

De fait, les entreprises ayant pris du retard dans la mise en place de la directive sont de petite taille ou de taille intermédiaire, dans les transports collectifs régionaux et le traitement de l’eau à l’échelle locale par exemple. Les sociétés de taille intermédiaire ont moins d’expertise en matière de protection informatique. Le secteur industriel est le plus touché par ces retards car il consacre statistiquement moins de moyens à la sécurité informatique que le secteur de la banque ou des télécommunications. À l’inverse, les secteurs de la banque et des télécommunications sont plus structurés et plus matures en termes de sécurité. Le rapport de KPMG relève tout de même que ces secteurs rencontrent parfois des difficultés pour se conformer aux exigences techniques.

 

En savoir plus :

E-commerce : maîtriser les aspects juridiques et sécuriser son activité (site Internet, site mobile et apps)