Directive NIS2 — Ce que les DPO doivent savoir

NIS2 s'applique a deux categories d'entites : les entites essentielles et les entites importantes. Les entites essentielles comprennent des secteurs comme l'energie, les transports, la banque, l'infrastructure des marches financiers, la sante, l'eau potable, les eaux usees, l'infrastructure numerique, la gestion des services TIC et l'administration publique. Les entites importantes couvrent des secteurs tels que les services postaux, la gestion des dechets, l'industrie manufacturiere, la production alimentaire, les produits chimiques et les fournisseurs numeriques. Les seuils de taille sont simples : les organisations de 50+ employes ou avec un chiffre d'affaires annuel de 10+ millions d'EUR dans ces secteurs sont automatiquement concernees. Cependant, certaines entites sont concernees independamment de leur taille — comme les fournisseurs de services DNS, les registres de TLD et les fournisseurs de reseaux de communications electroniques publics. Pour les DPO, cela signifie que beaucoup de vos clients existants peuvent desormais avoir des obligations NIS2 en plus de leurs exigences RGPD. Identifier proactivement quels clients relevent de NIS2 vous positionne comme un conseiller strategique precieux, pas seulement une case a cocher de conformite.

NIS2 exige des organisations concernees qu'elles mettent en oeuvre un ensemble complet de mesures de gestion des risques de cybersecurite. Celles-ci incluent : l'analyse des risques et les politiques de securite des systemes d'information, les procedures de traitement des incidents, la continuite des activites et la gestion de crise, la securite de la chaine d'approvisionnement, la securite dans l'acquisition et le developpement des reseaux et systemes d'information, les politiques d'evaluation de l'efficacite des mesures de cybersecurite, les pratiques de base de cyber-hygiene et la formation, les politiques de cryptographie, la securite des ressources humaines, le controle d'acces et la gestion des actifs. Les organisations doivent egalement signaler les incidents significatifs a leur autorite nationale dans les 24 heures pour une alerte precoce, 72 heures pour une notification complete et un mois pour un rapport final. Cette obligation de signalement a trois niveaux est plus stricte que la notification de violation de 72 heures du RGPD et necessite des procedures de reponse aux incidents bien preparees. Le chevauchement entre les mesures de securite NIS2 et l'article 32 du RGPD (securite du traitement) est substantiel. Les DPO qui conseillent deja leurs clients sur les mesures techniques et organisationnelles au titre du RGPD sont bien positionnes pour etendre ces conseils a la conformite NIS2.

Le changement le plus significatif introduit par NIS2 est la responsabilite personnelle des dirigeants. L'article 20 exige que les organes de direction approuvent et supervisent la mise en oeuvre des mesures de cybersecurite. Ils doivent egalement suivre une formation en cybersecurite. Point important : les organes de direction peuvent etre tenus personnellement responsables en cas d'infraction. Les amendes au titre de NIS2 sont substantielles : jusqu'a 10 millions d'EUR ou 2 % du chiffre d'affaires annuel mondial pour les entites essentielles, et jusqu'a 7 millions d'EUR ou 1,4 % du chiffre d'affaires mondial pour les entites importantes. Celles-ci s'ajoutent aux amendes RGPD — elles ne les remplacent pas. Cet aspect de responsabilite personnelle est ce qui cree l'urgence aupres des dirigeants. En tant que DPO, vous pouvez l'utiliser pour obtenir des budgets et de l'attention pour des projets de conformite qui seraient autrement deprecies. Les membres du conseil d'administration qui consideraient auparavant le RGPD comme un centre de couts s'interessent soudainement beaucoup a la conformite lorsque leurs biens personnels sont en jeu.

En tant que DPO externe, vous avez deja une connaissance approfondie du paysage de traitement des donnees de vos clients, de leurs mesures de securite et de leur structure organisationnelle. Cela fait de vous le conseiller naturel pour la conformite NIS2 — vous ne partez pas de zero. Commencez par cartographier le chevauchement entre les exigences RGPD et NIS2. Beaucoup des mesures techniques et organisationnelles que vos clients ont deja pour le RGPD (chiffrement, controles d'acces, procedures de reponse aux incidents) satisfont directement les exigences NIS2. Documentez ce chevauchement pour montrer aux clients qu'ils ne partent pas de zero. Proposez des evaluations de preparation NIS2 comme service complementaire. Une liste de verification structuree couvrant toutes les obligations NIS2, comparee a ce que le client a deja en place, apporte une valeur immediate et vous positionne pour un suivi de conformite continu. Utilisez un outil qui prend en charge a la fois le RGPD et NIS2 dans un tableau de bord unifie. Maintenir des systemes separes pour la conformite RGPD et la preparation NIS2 double votre charge de travail et rend plus difficile l'identification des synergies. Trustee.eu combine les deux dans une seule vue, pour que vous puissiez conseiller de maniere holistique.