La directive NIS2 a été publiée en octobre 2024 sous forme d'une directive Européenne, pour une mise en application après transposition en droit Français.

L'actualité législative fait que le projet a pris du retard en France et il est donc encore courant d'entendre qu'il est urgent d'attendre avant de se lancer dans la mise en application des exigences.

"On ne sait rien", "on a le temps", "on ne commence pas sans tout savoir".

C'est un point de vue. 

Sauf que c'est un point de vue biaisé à de nombreux titres :

1. D'abord, même si certaines spécificités ne sont pas encore connues, la large majorité des exigences est déjà disponible. Ne pas encore connaître, par exemple, les détails liés à la commission des sanctions ou à la mise en place de l'autorité de référence ne change pas grand chose. Les principes fondamentaux ne connaîtront pas de changement majeur et on peut déjà travailler de nombreux points. Même si on est une Entité Importante.
2. Pour certaines entités (18 secteurs), NIS2 ne s'appuie pas sur une directive, mais sur un règlement d'exécution publié le 17 octobre 2024. Cette partie est d'application immédiate (plus exactement depuis le 6 novembre 2024).  Plus exactement elle le sera dès que l'autorité aura ouvert son portail de déclaration.
3. NIS2 intègre des exigences qui sont déjà des obligations légales, en particulier celles du RGPD, mais pas seulement. Coté contractuel il y a un peu de travail ...
4. Les mesures techniques sont nombreuses, et elles aussi bien connues.
   
5. Attendre avant de démarrer la mise en œuvre, c'est augmenter la "dette de conformité". C'est à dire se retrouver avec un pic d'effort à fournir soudainement, au lieu d'un engagement à doser sur la durée.
6. Cerise sur le gâteau : même si un délai de 3 ans est prévu pour la mise en œuvre de NIS2, l'obligation de déclaration des incidents importants (et donc les procédures internes associées) sera effective dès le début pour les entités concernées.
   

Quand bien même vous ne vous sentiriez pas concerné en première lecture, d'autres le seront. Vu autrement, parce que NIS2 implique une prise en compte des dangers liés au fournisseurs, vos clients seront là pour déclencher votre projet de mise en conformité. 

Projet qui devra alors être mené en urgence pour ne pas manquer des opportunités. Hors un effort non lissé, c'est plus impactant pour l'organisation.

Et puis personne n'aime devoir sortir rapidement un budget pour un gros sujet non anticipé alors qu'on aurait pu le lisser sur plusieurs années.

Gouverner, c'est prévoir. Il est donc urgent de ne PAS attendre pour au moins lancer un travail préparatoire et comprendre l'effort nécessaire.

Toutes les structures à qui je parle et qui prennent conscience de l'effort finissent par me dire "en fait il faut s'y mettre". Et elles ont raison.

N'hésitez pas à me contacter pour échanger sur ce sujet.