[Vidéo] 39e édition du Prix Turgot

-En 2020, dans le cadre d’une enquête pour position dominante relative au service Facebook Marketplace (C496/23P) et à l’utilisation des données Facebook (C497/23P), la Commission a demandé à Meta Platforms Ireland Ltd de fournir des documents internes.

 

-A la suite d’un pourvoi de Meta Platforms Ireland Ltd, le Tribunal de l’Union européenne a confirmé par ses deux arrêts du 24 mai 2023 (T 451/20 et T 452/20), la légalité des décisions de la Commission . Le Tribunal dit pour droit que les demandes de renseignements de la Commission étaient suffisamment motivées, nécessaires et proportionnées et respectaient le droit au respect de la vie privée.

 

-La société Meta Platforms Ireland Ltd a formé un pourvoi devant la Cour de Justice de l’Union Européenne contre ces deux arrêts.

 

-Le 26 février 2026, l’avocat général de la Cour de Justice de l’Union Européenne a proposé de rejeter les deux pourvois et de confirmer les arrêts du Tribunal. Il précise que le Tribunal n’a commis aucune erreur de droit dans l’appréciation du caractère nécessaire des renseignements demandés par la Commission. Celle-ci pouvait raisonnablement estimer que les documents identifiés étaient susceptibles de contribuer à la vérification des infractions présumées dans le cadre de ses pouvoirs pour enquêter efficacement auprès d’entreprises comme Meta.

Les conclusions d’un Avocat général ne lient pas la Cour mais indiquent la direction juridique proposée à la Cour ; en l’espèce, confirmation des arrêts du Tribunal et rejet des pourvois de Meta.

Cette affaire nous donne l’occasion de rappeler les régimes clés du droit numérique Européen dont les deux principaux acteurs ont été Margarethe VESTAGER, Vice-Présidente de la Commission Européenne chargée de l’Europe adaptée à l’âge numérique et Thierry BRETON, Commissaire Européen en charge du marché intérieur et du numérique.

Règlement (UE) 2022/1925 du 14 septembre 2022 (entré en vigueur complète au 6 mars 2024) adopté en vue d’améliorer le marché intérieur européen.

• Il vise à réguler les grands acteurs des marchés numériques afin de garantir des marchés contestables et équitables.

• Il s’applique à certaines grandes plateformes identifiées par l’UE comme Google, Apple ou Meta.

• Il implique des obligations spécifiques : interdictions de certaines pratiques, accès aux données, transparence, etc. Il prévoit des sanctions sévères en cas de non-respect.

Règlement (UE) 2022/2065 du 19 octobre 2022 relatif au marché unique européen des services numériques (entré en vigueur complète le 17 février 2024).

• Il structure la responsabilité et les obligations de gestion de contenu des services numériques.

• Il s’applique à toute plateforme offrant des services à des utilisateurs basés dans l’UE, même si l’entreprise est non-européenne.

• Il prévoit notamment des obligations étendues pour les très grandes plateformes en ligne, notamment en matière de transparence, modération, données exploitables pour la recherche, etc.

Les conclusions de l’Avocat Général dans Meta Platforms Ireland ont une portée qui dépasse le strict cadre du droit de la concurrence : elles s’inscrivent dans une tendance réglementaire et jurisprudentielle européenne visant à affirmer que les grandes plateformes n’échappent pas aux exigences européennes simplement parce qu’elles sont établies hors de l’UE ou que leurs activités sont globales.

Elles nous rappellent les règles classiques du droit européen :

La CJUE, à travers l’opinion de l’Avocat Général:

• reconnaît pleinement la compétence de l’Union européenne pour imposer des obligations juridiques aux grandes plateformes opérant dans l’UE

• rejette l’argument selon lequel une entreprise pourrait contester la portée de ces obligations au motif que des documents, des données se trouvent hors de l’UE ou sont protégés par des normes étrangères.

Ce raisonnement est parfaitement cohérent avec les régimes issus du DMA et du DSA et lesquels, par leur nature de règlements, s’appliquent directement à toutes les plateformes offrant des services dans l’UE, qu’elles soient européennes ou non.

Ainsi, une entreprise américaine comme Meta est tenue de se conformer pleinement aux obligations de la DSA et de la DMA dès lors que ses services numériques touchent des utilisateurs dans l’Union.

Les conclusions renforcent un principe juridique clé : l’UE ne se limite pas à réguler les comportements anticoncurrentiels, elle impose des obligations indépendantes de concurrence notamment en matière de régulation numérique qui s’imposent directement aux acteurs du marché.

Cela signifie notamment :

• une obligation de transparence, de coopération et de fourniture d’informations;

• une obligation de traiter des données et des pratiques commerciales conformément aux normes européennes, même lorsque ces dernières entrent en concurrence avec des législations étrangères ou des stratégies internes à l’entreprise.

• Les entreprises, quelles que soient leur taille et leur nationalité, doivent intégrer le droit de l’Union européenne comme un cadre contraignant et autonome.

• Le respect du DMA et du DSA devient une condition de leur conformité globale en Europe, y compris dans des situations où interviennent d’autres domaines : protection des données, concurrence, accès à l’information.

Les conclusions de l’Avocat général confirment la compétence de l’Union européenne à imposer des obligations d’enquête et de coopération contraignantes à des plateformes globales comme META.

 

Cette dynamique jurisprudentielle reflète l’exigence selon laquelle les entreprises offrant des services dans l’UE doivent se conformer aux régimes européens, y compris le DSA et le DMA, indépendamment de leur lieu d’établissement.

 

L’Union européenne affirme une extraterritorialité normative : pour opérer durablement dans le marché unique, les entreprises quelles que soient leur origine ou leur structure doivent intégrer pleinement les obligations européennes en matière de concurrence, de données, de marchés numériques et de services.

 

Une fois l’arrêt rendu par la Cour de justice de l’Union européenne, une référence à celui-ci et un commentaire en seront assurés dans le cadre d’un autre article d’EUROLAW FRANCE CYBER.

Les marques et institutions qui traversent les tempêtes ont un avantage rare : elles ont investi avant que tout bascule. Plans de crise vivants, audits rigoureux, simulations réalistes, cellules d’astreinte entraînées.

Le luxe ultime n’est pas d’éviter la crise ; c’est de ne jamais être surpris par elle.
Ce travail en amont est souvent discret, confidentiel, mais c’est lui qui fait la différence entre une gestion sereine et un naufrage public.

Quand la crise éclate, la première heure est décisive.

Les équipes cherchent des repères. Les dirigeants doivent trancher. Les informations affluent, parfois contradictoires. C’est l’instant où l’expérience compte plus que les procédures.

Stabiliser. Prioriser. Protéger. Structurer le récit.

Une cellule de crise professionnelle sait rétablir l’ordre au milieu du tumulte et éviter qu’un incident ne devienne une catastrophe stratégique.

Dans un monde où chaque silence est interprété et chaque mot disséqué, la communication de crise devient un exercice d’orfèvre.

Un porte-parole non préparé peut provoquer un emballement médiatique.
Un message trop tardif ouvre la porte aux fantasmes.
Un excès de transparence peut exposer l’entreprise juridiquement.

La maîtrise consiste à dire ce qui rassure sans affaiblir, ce qui informe sans accuser, ce qui protège sans mentir. C’est un équilibre rare, exigeant, que seules les équipes rompues aux situations sensibles savent tenir.

Une crise ne s’arrête pas quand l’événement disparaît. Les collaborateurs restent marqués, les clients doutent, les partenaires observent.

La gestion d’après-crise, soutien psychologique, sécurisation, retour d’expérience, reconstruction du récit, fait partie intégrante du succès.

Les organisations qui ressortent plus fortes sont celles qui prennent soin de leurs équipes… et de leur réputation.

Parce qu’elles savent s’entourer.
Parce qu’elles n’attendent pas l’impact pour structurer leur défense.
Parce qu’elles confient leurs situations sensibles à des professionnels capables d’intervenir vite, discrètement, efficacement.

Dans un univers où chaque crise peut devenir mondiale en quelques heures, la vraie question n’est plus “Aurons-nous une crise ?”, mais “Serons-nous prêts quand elle viendra ?”

Et lorsque ce moment arrive toujours trop tôt, toujours trop vite, la différence entre un incident maîtrisé et une crise dévastatrice tient souvent à un seul réflexe : savoir appeler ceux qui ont l’habitude de marcher dans l’oeil du cyclone.

Voir l’article dans la Revue des Directions Juridiques et Conformité.

Un contrat d’assurance cyber se structure généralement autour de deux volets principaux : la couverture des dommages propres et la couverture de la responsabilité civile envers les tiers . Cette double protection constitue le socle de la plupart des polices disponibles sur le marché.

L’un des apports majeurs d’une assurance cyber réside dans l’accompagnement immédiat en cas d’incident. Dès la détection d’une attaque, l’assuré peut soliciter une équipe d’experts disponible 24 heures sur 24 et 7 jours sur 7. Cette assistance comprend en général plusieurs volets : l’intervention d’experts en sécurité informatique pour identifier l’origine et l’étendue de l’attaque, mais aussi l’accompagnement juridique par un avocat spécialisé et l’accès à des consultants en communication de crise pour préserver la réputation de l’entreprise.

Les frais d’investigation numérique (forensique), de restauration des systèmes d’information et de récupération des données sont généralement pris en charge. Cette garantie permet de réagir rapidement et de limiter l’impact opérationnel de l’incident.

Une cyberattaque peut paralyser l’activité d’une entreprise pendant plusieurs jours, voire plusieurs semaines. L’assurance cyber couvre les pertes d’exploitation consécutives à cette interruption ou au ralentissement de l’activité. Cette garantie compense la perte de marge brute subie pendant la période d’indisponibilité des systèmes.

Les frais supplémentaires d’exploitation sont également indemnisés : il s’agit des dépenses engagées pour maintenir un niveau minimal d’activité, comme le recours à des solutions de contournement ou à des prestataires externes. Selon une étude Groupama de 2025, une attaque réussie coûte en moyenne 466 000 euros aux TPE et PME, dont 50 % correspondent à des pertes d’exploitation.

Lorsqu’une cyberattaque entraîne la fuite de données personnelles de clients, de partenaires ou de salariés, l’entreprise peut voir sa responsabilité civile engagée. L’assurance couvre alors les conséquences financières des réclamations de tiers : frais de défense juridique, dommages et intérêts, frais de notification aux personnes concernées conformément aux exigences du RGPD.

Certains contrats incluent également la prise en charge des amendes administratives prononcées par la CNIL en cas de violation de la confidentialité des données, dans la limite de leur assurabilité en droit français. Cette garantie vis-à-vis de possibles sanctions réglementaires devient particulièrement pertinente dans le contexte de renforcement des obligations liées à la directive NIS2 et au règlement DORA.

Aucun contrat d’assurance ne couvre l’intégralité des risques. Il est essentiel pour tout dirigeant de connaître les exclusions standard afin d’éviter de mauvaises surprises lors d’un sinistre. Ces exclusions répondent à des logiques de viabilité économique ou à des impossibilités juridiques.

Les cyberattaques attribuées à des États ou à des groupes affiliés à des gouvernements sont généralement exclues des garanties. Cette exclusion de « guerre cyber » s’explique par l’impossibilité pour le marché privé de l’assurance d’absorber les conséquences d’un conflit numérique de grande ampleur. Si un rapport d’expert ou une déclaration officielle attribue une attaque à un acteur étatique, l’assureur peut invoquer cette clause pour refuser l’indemnisation.

Dans un contexte géopolitique tendu, cette exclusion mérite une attention particulière. Certains États réfléchissent à des mécanismes de garantie publique pour couvrir ces risques systémiques.

L’assurance cyber protège contre les conséquences immatérielles et numériques d’une attaque. Les dommages physiques sont exclus : si une cyberattaque provoque la panne d’un serveur, l’incendie d’un équipement ou un accident corporel, ces sinistres relèvent d’autres polices (multirisque professionnelle, responsabilité civile exploitation, assurance accidents du travail).

Cette distinction est fondamentale pour les entreprises industrielles dont les systèmes informatiques pilotent des équipements de production. Une coordination entre les différentes polices d’assurance s’impose pour éviter les lacunes de couverture.

Les assureurs imposent des prérequis techniques comme condition de la garantie. L’absence de sensibilisation des utilisateurs du Système d’Information ; de mises à jour régulières des systèmes, le défaut d’antivirus ou d’outils de detection d’intrusion modernes (EDR) et de pare-feu, l’absence d’authentification multifacteur (MFA) ou de sauvegardes régulières et sécurisées peuvent constituer des motifs de refus de couverture.

De même, les actes intentionnels ou frauduleux commis par des dirigeants ou des salariés sont parfois exclus. Un manquement grave aux mesures de sécurité raisonnables peut être assimilé à une négligence et entraîner une déchéance de garantie.

La cyberassurance répare les dommages mais ne finance pas les investissements de prévention. Si l’entreprise profite d’un incident pour acquérir un équipement plus performant ou renforcer son infrastructure de sécurité, la différence de coût peut rester à sa charge. Le principe indemnitaire interdit tout enrichissement de l’assuré.

La perte de propriété intellectuelle, de secrets commerciaux ou de brevets est également généralement exclue, sauf mention contraire dans le contrat. Ces actifs immatériels sont difficiles à évaluer et leur couverture nécessite des extensions de garantie spécifiques.

Souscrire une assurance cyber ne suffit pas à garantir une indemnisation. Le législateur et les assureurs ont instauré des conditions strictes que l’entreprise doit respecter pour bénéficier effectivement de sa couverture.

Depuis le 24 avril 2023, la loi d’orientation et de programmation du ministère de l’Intérieur (LOPMI) conditionne l’indemnisation assurantielle au dépôt d’une plainte dans un délai de 72 heures à compter de la connaissance de l’atteinte. Cette obligation s’applique à toutes les personnes morales et aux personnes physiques dans le cadre de leur activité professionnelle.

Le délai court à partir de la découverte des dommages, non de la date de l’attaque elle-même. Le dépôt de plainte s’effectue auprès d’une brigade de gendarmerie, d’un commissariat de police ou directement auprès du procureur de la République. Cette disposition d’ordre public s’applique à tous les contrats d’assurance en cours, même si elle n’y figure pas explicitement.

Attention : le non-respect de ce délai entraîne la déchéance du droit à indemnisation. Il est donc impératif d’intégrer cette obligation dans les procédures internes de gestion de crise.

Avant de souscrire une police cyber, l’entreprise doit généralement attester d’un niveau minimal de sécurité. Les assureurs exigent couramment la sensibilisation des collaborateurs, la mise en place d’un antivirus ou EDR selon le niveau d’exposition et d’un pare-feu à jour, de sauvegardes régulières sécurisée (déconnectées ou immuables) des données, d’une authentification multifacteur pour les accès sensibles et distants, et d’une politique de mise à jour des systèmes d’exploitation et des applications.

Ces prérequis font l’objet d’un questionnaire de souscription détaillé. Toute déclaration inexacte peut être invoquée par l’assureur pour réduire ou refuser l’indemnisation. Il est essentiel de décrire fidèlement la situation de l’entreprise et de s’engager dans une démarche d’amélioration continue.

Le cadre réglementaire européen impose des obligations croissantes aux entreprises en matière de cybersécurité. La directive NIS2, en cours de transposition en droit français, élargit considérablement le périmètre des entités concernées : santé, énergie, transport, services numériques, administrations publiques. Elle impose des mesures de gestion des risques, des obligations de notification d’incidents et prévoit des sanctions pouvant atteindre 10 millions d’euros ou 2 % du chiffre d’affaires mondial.

Le règlement européen DORA, applicable depuis janvier 2025, cible spécifiquement le secteur financier : banques, assurances, fintechs, gestionnaires d’actifs. Il impose des tests de résilience réguliers et un encadrement strict des prestataires informatiques de tout acteur économique soumis à DORA.

La conformité à ces réglementations constitue un atout dans la négociation avec les assureurs. À l’inverse, un manquement grave peut justifier une exclusion de garantie. Pour approfondir ces obligations, consultez notre article sur la directive NIS2 et ses implications pour les PME et ETI.

Face à la diversité des offres et à la complexité des garanties, le choix d’un contrat d’assurance cyber ne s’improvise pas. Une approche méthodique permet d’obtenir une couverture adaptée aux besoins réels de l’entreprise.

Le recours à un courtier proposant des assurances cyber présente plusieurs avantages décisifs.

En premier lieu, cela permet de comparer les offres de plusieurs assureurs via un interlocuteur unique. Le courtier connaît les spécificités de chaque police, les clauses favorables à négocier et les exclusions à surveiller. Il va pouvoir solliciter différentes compagnies d’assurance en fonction de leur appétence sur l’activité exercée par l’entreprise et son niveau d’exposition. Le gain de temps est donc considérable : plutôt que de solliciter individuellement chaque compagnie d’assurance, l’entreprise bénéficie d’une mise en concurrence structurée.

La comparaison des coûts permet d’optimiser le rapport qualité-prix de la couverture. Les écarts de tarification entre assureurs peuvent être significatifs pour des garanties équivalentes.

Le courtier accompagne également l’entreprise dans la constitution du dossier de souscription, et notamment dans la complétion des questionnaires des assureurs, en explicitant leurs attendus. Ceux-ci diffèrent souvent des approches des DSI et sont plus orientés sur la prévention des sinistres cyber rencontrés.

Véritable conseiller, le courtier peut intervenir en cas de sinistre pour faciliter les démarches d’indemnisation. Il participera également chaque année à la mise à niveau de la posture cyber rencontrée et renégociera au mieux les couvertures, sous-limites, exclusions ; voire sera en capacité de proposer un changement d’assureur afin d’optimiser le programme d’assurance.

Plusieurs éléments doivent guider l’analyse des offres. Le plafond de garantie doit être cohérent avec l’exposition réelle de l’entreprise : une couverture de 500 000 euros peut s’avérer insuffisante pour une ETI dont l’arrêt d’activité coûterait plusieurs millions d’euros. Le montant de la franchise, qui reste à la charge de l’assuré, impacte directement le coût de la prime.

L’étendue des garanties mérite un examen attentif : la fraude au président (cyber-extorsion par ingénierie sociale) est-elle couverte ? Les pertes d’exploitation liées à une défaillance d’un prestataire cloud sont-elles incluses ? La territorialité correspond-elle au périmètre d’activité de l’entreprise ?

La qualité du dispositif d’assistance est déterminante : disponibilité 24h/24, réseau d’experts reconnus, délais d’intervention garantis. En cas de crise, la réactivité de l’assureur fait la différence.

Chaque entreprise présente un profil de risque spécifique. Les secteurs comme la santé, la finance ou les services numériques sont particulièrement exposés et nécessitent des couvertures renforcées. Le volume et la sensibilité des données traitées, la dépendance aux systèmes d’information, l’exposition internationale sont autant de facteurs à prendre en compte.

L’étude LUCY 2025 indique qu’une grande entreprise souscrit en moyenne une couverture de 42,5 millions d’euros avec une franchise de 6,5 millions d’euros pour une prime de 800 000 euros. Une ETI se positionne typiquement sur une couverture de 4,5 millions d’euros avec une franchise de 100 000 euros pour une prime de 47 000 euros. Ces ordres de grandeur permettent de situer son propre besoin.

Disposer d’un contrat d’assurance cyber ne garantit pas une protection optimale. Un audit régulier de la couverture s’impose pour vérifier son adéquation avec l’évolution des risques et de l’activité.

La première étape consiste à recenser l’ensemble des polices d’assurance souscrites par l’entreprise. Certains risques cyber peuvent être partiellement couverts par la responsabilité civile professionnelle ou la multirisque professionnelle. Il convient d’identifier les éventuelles lacunes et les doublons de garanties.

L’examen des exclusions mérite une attention particulière. La tendance des assureurs est à l’exclusion du risque cyber des polices traditionnelles, au profit de contrats dédiés. Une lecture croisée des différentes polices permet de vérifier la cohérence globale de la protection.

Pour approfondir cette démarche, découvrez notre article sur la gouvernance du risque cyber en entreprise.

Le marché de l’assurance cyber s’est assoupli en 2024, offrant des marges de négociation aux entreprises. Plusieurs points méritent une discussion avec votre assureur ou votre courtier : le rachat de certaines exclusions (fraude, ingénierie sociale), l’extension de la couverture aux filiales ou aux sous-traitants critiques, la réduction de la franchise en échange d’un engagement sur des mesures de prévention.

La valorisation de votre niveau de sécurité constitue un argument de poids. Si votre entreprise dispose de certifications (ISO 27001), de solutions de protection avancées (SOC managé ou interne, EDR, MFA) ou d’un plan de continuité d’activité documenté, faites-le valoir pour obtenir de meilleures conditions.

La question de la responsabilité personnelle du dirigeant en cas de manquement aux obligations de cybersécurité doit également être prise en compte dans la stratégie assurantielle globale.

L’assurance cyber constitue un pilier essentiel de la stratégie de résilience des entreprises face aux menaces numériques. Trois enseignements clés se dégagent de cette analyse.

Premièrement, les garanties réellement couvertes sont plus étendues qu’on ne le pense souvent : gestion de crise, perte d’exploitation, responsabilité civile, frais de notification. Mais les exclusions sont tout aussi significatives et méritent un examen attentif avant la souscription.

Deuxièmement, l’indemnisation n’est pas automatique. Le respect de l’obligation de plainte dans les 72 heures instaurée par la loi LOPMI, le maintien d’un niveau de sécurité conforme aux exigences contractuelles et la conformité aux réglementations (NIS2, DORA, RGPD) conditionnent la prise en charge des sinistres.

Troisièmement, le choix du contrat ne doit pas être laissé au hasard. Le recours à un courtier spécialisé permet de comparer les offres, d’optimiser les coûts et d’adapter la couverture au profil de risque spécifique de l’entreprise.

Il n’est pas trop tard pour agir.

Eurolaw France Cyber réunit avocats, experts en gestion du risque cyber ainsi qu’un courtier d’assurances pour accompagner les dirigeants dans l’évaluation de leur exposition au risque cyber et l’optimisation de leur couverture assurantielle. Contactez-nous pour un diagnostic complet de votre assurabilité cyber.

Sources : Étude LUCY 2025 (AMRAE), Panorama de la cybermenace 2024 (ANSSI), Loi LOPMI n°2023-22 du 24 janvier 2023, Service-public.fr

Eurolaw France Cyber a tenu le 16 octobre de 18h à 21h sa soirée débats dans le cadre du CyberMois, en partenariat avec deux de ses membres : le Village de la Justice et l’École de Guerre Économique.

 

Nous avons reçu 3 témoignages complémentaires en prise directe avec la gestion du risque cyber et le renforcement de la cybersécurité dans les organisations.

La directive NIS2 (UE 2022/2555), officiellement publiée au Journal Officiel de l’UE le 27 décembre 2022, est entrée en vigueur dans l’ensemble des pays de l’Union Européenne le 18 octobre 2024, à la date limite prévue pour la transposition dans les Etats membres.

En France, le projet de loi relatif à la résilience des infrastructures critiques est en cours d’examen, avec une promulgation peu probable avant la fin 2025.

NIS2 représente une révision ambitieuse de la NIS1 publiée en 2016, et marque un tournant décisif dans la gestion de la cybersécurité en Europe : de moins de 300 entités régulées sous NIS1, la France passe à plus de 10 000 à 15 000 entités concernées.

 

 

Directive NIS2 et cybersécurité : quelles obligations pour les PMEs et ETIs ? Ce guide s’adresse aux dirigeants (DG, DAF, directeurs juridiques), désireux de comprendre :

 

• • si leur entreprise est concernée par NIS2, selon leur secteur, taille ou rôle de fournisseur/sous‑traitant ;
  • quelles obligations ils doivent respecter ;
  • quel est le calendrier d’application, y compris le début des sanctions ;
  • comment NIS2 interagit avec d’autres réglementations comme le RGPD, DORA ou l’ISO 27001 ;
  • comment se préparer efficacement ;
  • et d’avoir une checklist pratique pour action immédiate.

 

 

 

Êtes-vous concerné ?

 

Critères de secteur et taille

La directive vise 18 secteurs stratégiques (listés aux Annexes I & II de la directive), allant des infrastructures numériques, énergie, transports, santé, services financiers à la gestion des déchets et de l’eau. Une entité est concernée :

 

• • si elle appartient à un secteur listé et est une grande entreprise (> 250 salariés et > 50 M€ CA)
  • ou si elle appartient à un secteur listé et dépasse un seuil de taille de moyenne entreprise (≥ 50 salariés et CA ≥ 10 M€ ou bilan ≥ 10 M€) .

 

Prestataires et effets en chaîne

Même une PME non visée directement peut être concernée si elle fournit des services à un client soumis à NIS2 (ex. : hébergeurs, intégrateurs, prestataires cloud, infogérance). NIS2 renforce la résilience de la chaîne d’approvisionnement, exigeant que les sous‑traitants respectent les normes de cybersécurité

 

Entités essentielles vs entités importantes

NIS2 supprime la catégorie OSE (opérateur de services essentiels) instituée par NIS1, et introduit deux nouvelles classes d’entités concernées par la directive:

 

• • Entités essentielles (EE) : les grandes entreprises des 11 secteurs « hautement critiques » (Annexe I) ; les entreprises nominativement désignées comme essentielles par l’État ; les entités de l’administration publique nationale ; et les fournisseurs de services de communication électroniques, de confiance numérique ou de noms de domaine.
  • Entités importantes (EI) : les entreprises moyennes des secteurs hautement critiques (Annexe I), et toutes les entités non essentielles des 7 secteurs « critiques » (Annexe II) .

Les obligations, contrôles et sanctions diffèrent selon que l’on est une entité essentielle ou importante.

 

Exemples pour dirigeants PME/ETI

 

• • PME industrielle de plus de 50 salariés fournissant des fabricants d’équipements : entité importante.
  • PME infogérant des données pour une collectivité locale : concernée via la chaîne d’approvisionnement.
  • Start-up IT de moins de 50 salariés fournissant des services cloud pour un secteur critique : potentiellement EI, voire EE selon l’identité de ses clients.

 

 

Vos obligations concrètes en matière de cybersécurité

 

Mesures techniques et organisationnelles

Les entités concernées doivent adopter un ensemble de mesures proportionnées inspirées des normes ISO 27001 ou NIST :

 

• • Analyse régulière des risques ;
  • Gestion des accès, authentification multifacteur (MFA), chiffrement des données, journalisation des événements ;
  • Surveillance des vulnérabilités, plans de mise à jour des S.I. ;
  • Formation du personnel, gouvernance interne, réponse à incident.

 

Obligations de notification des incidents

Toute entité concernée a obligation de notifier tout incident significatif :

 

• • alerte initiale dans les 24 h,
  • rapport détaillé dans les 72 h,
  • rapport final dans le mois suivant.

 

Responsabilité des dirigeants au titre de NSI2

La directive NIS2 contraint les dirigeants à s’impliquer : formation, supervision, gouvernance transparente. Leur responsabilité personnelle peut être engagée en cas de non‑conformité grave ou répétée.

 

Supply chain & continuité d’activité

Il est impératif de superviser les fournisseurs, sous‑traitants et prestataires critiques. Un plan de continuité d’activité et reprise d’activité (PCA/PRA) et des garanties contractuelles doivent être en place pour limiter les risques de défaillance ou d’attaque propagée.

 

 

Calendrier d’application de NSI2 et sanctions

 

Dates clés

 

• • 27 décembre 2022 : publication au JOUE,
  • 18 octobre 2024 : entrée en vigueur au niveau UE,
  • 2025‑2027 : période de transition. Notification d’incident déjà obligatoire depuis début 2025.
  • fin 2027: conformité totale exigée.

 

Sanctions financières et pénales

 

• • Entités essentielles : jusqu’à 10 M€ d’amende ou 2 % du chiffre d’affaires mondial ;
  • Entités importantes : jusqu’à 7 M€ ou 1,4 % du CA mondial.
  • La publication des manquements, des audits obligatoires, et la suspension de fonctions dirigeantes sont possibles en cas de manquement grave.

 

 

NIS2 et autres réglementations : comment s’y retrouver ?

 

NIS2 vs RGPD

Le RGPD vise la protection des données personnelles, tandis que la NIS2 cible la résilience des systèmes informatiques et la continuité des services critiques. Les deux peuvent se compléter notamment dans les domaines incidents et gouvernance de sécurité.

 

NIS2 et DORA (secteur financier)

Pour les entités financières, DORA impose une gouvernance numérique et une gestion de risques similaires. NIS2 complète DORA en étendant les obligations à tous les aspects de cybersécurité et de notification des incidents au niveau UE.

 

Alignement avec les normes ISO 27001 et 22301

Adopter des référentiels éprouvés améliore la conformité à NIS2 et facilite les audits. Les normes ISO 27001 (gestion de la sécurité de l’information) et ISO 22301 (management de la continuité d’activité) offrent un cadre pragmatique et reconnu.

 

 

Comment bien se préparer ?

 

Évaluation de conformité initiale

 

• • Faites le test sur le site de l’ANSSI pour vérifier si votre entité est concernée :
  • Réalisez une cartographie de vos actifs critiques et de vos risques et une analyse de conformité en faisant appel à un auditeur externe spécialisé. Eurolaw France Cyber peut vous orienter.

 

Gouvernance et formation

 

• • Désignez un Responsable de la sécurité des systèmes d’information (RSSI) ; Il peut être externalisé.
  • Établissez une politique de sécurité du système d’information et assurez-vous qu’elle soit officiellement validée par vous en tant que dirigeant.
  • Assurez la formation continue de l’équipe de direction et la sensibilisation des équipes aux menaces et aux procédures.

 

Protection et réponse aux incidents

 

• • Vous devez adopter une politique de sécurité des données et de gestion des identités pour assurer une protection de vos données et de votre système d’information.
  • Il vous faut mettre en place un processus de notification des incidents significatifs aux autorités compétentes (ANSSI)
  • Vous devez définir un plan de continuité d’activité (PCA) et un plan de reprise d’activité (PRA).
  • Vous pouvez déléguer tout ou partie à un prestataire de services de cybersécurité et à des éditeurs de solutions de cybersécurité.
  • Tous ces prestataires doivent à leur tour être conformes à NIS2 et assurer la bonne mise en œuvres des exigences vous concernant (notification des incidents, PCA etc.)

 

Financements et accompagnement

 

• • Des programmes publics comme Cybermalveillance.gouv.fr peuvent permettre un accompagnement à moindre coût, de même que des mécanismes de subventions régionales ou nationales.
  • Faites-vous accompagner par un conseil spécialisé pour piloter votre mise en conformité et prioriser en tenant compte de vos impératifs business et de vos contraintes budgétaires. Eurolaw France Cyber peut vous orienter.

 

 

Checklist NIS2 pour dirigeants PME/ETI

 

 

• • Suis-je dans un secteur visé par les Annexes I ou II de la directive ?
  • Ma structure dépasse-t-elle les seuils de taille/CA définis ?
  • Mes fournisseurs ou sous-traitants sont-ils soumis à NIS2 ?
  • Ai-je identifié les actifs et risques critiques de mon SI ?
  • Ai-je mis en place les 10 mesures minimales imposées (authentification multi-facteurs, chiffrement…) ?
  • Puis-je notifier un incident dans les délais de 24h / 72h ?
  • Mon COMEX et mon RSSI sont-ils formés et engagés ?
  • Mes contrats fournisseurs intègrent-ils les exigences cybersécurité ?
  • Ma gouvernance est-elle alignée avec le RGPD, avec l’ISO 27001/22301, ou avec DORA si je suis dans le secteur financier ?
  • Ai-je évalué les risques financiers et juridiques en cas de non‑conformité ?

 

 

 

Conclusion

La directive NIS2 représente un tournant crucial pour la cybersécurité des PME et ETI. Elle s’applique à un grand nombre d’entre elles (selon le secteur d’activité) et impose des obligations strictes, une surveillance de la chaîne d’approvisionnement, et une responsabilité directe des dirigeants.

Il n’est pas trop tard pour agir : réalisez un diagnostic complet, formez vos équipes, élaborez une gouvernance solide, et anticipez les audits ou notifications d’incident. Une préparation bien menée peut transformer cette contrainte réglementaire en opportunité stratégique : renforcer votre résilience, conforter votre relation avec vos clients et minimiser les risques juridiques ou financiers.

 

 

Source officielle

Consultez le texte de la directive NIS2 en Français sur le site officiel EUR-Lex.