Les cyber-attaques coûtent aux entreprises plusieurs centaines de millions d’euros chaque année dans le monde. Pour combattre ce fléau, la "directive NIS" est entrée en vigueur en août 2016, et vise à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information d’intérêt général à l’échelle de l’Union Européenne.

Les points essentiels sont résumés ci-dessous et vous retrouverez l’étude complète en pièce-jointe. 


A l’échelle de l’Union Européenne

- La directive a pour objectif de combattre les cyber-attaques majeures (cyber guerre et sabotage) ciblant les services considérés comme essentiels pour l’état et pour les populations. Elle s’applique à huit secteurs d’activité: l’énergie, les transports, la banque, les soins de santé, l’eau potable, les infrastructures numérique et financière, et finalement les fournisseurs de services numériques (cloud moteurs de recherche …). En France et en Allemagne, pays qui disposaient déjà de réglementations préexistantes matures pour la plupart de ces secteurs d’activité, la directive a été l’occasion d’ajouter à cette liste des secteurs supplémentaires comme l’assurance.

- Avant l’entrée en force de la directive, près de la moitié des pays de l’Union Européenne n’avaient pas de législation en matière de cyber-sécurité. A ce jour, tous les pays membres de l’UE n’ont pas encore complètement intégré la directive dans leur réglementation nationale. A la date d’échéance de novembre 2018, pourtant fixée par le texte de la directive, plus de la moitié des états Européens n’avaient pas encore défini la liste des entreprises opérant les services dits essentiels et donc soumis à la nouvelle réglementation. La France et l’Allemagne, qui avait déjà une réglementation, n’ont pas été confrontées à ces difficultés de mise en œuvre. L’Espagne, l’Italie et les Pays-Bas rattrapent leur retard rapidement.

- Moment décisif en mai 2019, l’Union Européenne vérifiera comment la directive a été transposée dans chaque pays et que les opérateurs ont été choisis avec pertinence. Elle dressera ainsi un premier bilan d’étape de la mise en œuvre de la directive.

- Les mesures de sécurité à intégrer dans la réglementation sont à décider séparément par chaque pays de l’Union Européenne. Les entreprises multinationales des secteurs réglementés ont ainsi à concilier des obligations qui peuvent présenter des différences importantes d’un pays à l’autre.  

- La directive permet de professionnaliser les services étatiques, les services informatiques des grands opérateurs ainsi que l’écosystème des sous-traitants et des sociétés de conseils. Sur le long terme, cela contribuera à homogénéiser les systèmes de protection à l’échelle de l’UE.

- La Norvège (hors UE) a également appliqué ce dispositif.

- Brexit ou non, le Royaume-Uni a déjà intégré la réglementation.


En France

- Certains secteurs, tels que l’énergie, les télécommunications, les transports, la banque et l’industrie avaient déjà une réglementation depuis 2016. Celle-ci ne sera pas modifiée. On constate que dans le cadre de cette réglementation préexistante, certains secteurs et opérateurs n’auront pas terminé leur mise en conformité dans le délai de trois ans dont ils disposaient entre 2016 et 2019.

- On constate que les entreprises ayant pris du retard dans la mise en place de la directive sont de petites tailles ou de taille intermédiaire, dans les transports collectifs régionaux et le traitement de l’eau à l’échelle locale par exemple. Les sociétés de taille intermédiaire ont moins d’expertise en matière de protection informatique. Le secteur industriel est le plus touché par ces retards car il consacre statistiquement moins de moyens à la sécurité informatique que le secteur de la banque ou des télécommunications.

- A l’inverse, les secteurs de la banque et des télécommunications sont plus structurés et plus matures en termes de sécurité. On remarque tout de même que ces secteurs rencontrent parfois des difficultés pour se conformer aux exigences techniques.

Rizana Siddique
rizanasiddique@kpmg.fr
01 55 68 96 06