diagnostic positionnement législation cyber-sécurité UE + France : pour vous y retrouver dans le maquis législatif actuel ?
votre besoin : le positionnement légal de votre entreprise en législations cyber-sécurité UE + France
Directive NIS 2 du 14 décembre 2022 ? entité Essentielle #EE ? entité Importante #EI ? prestataire sur « service essentiel » ?
Règlement d’exécution « REX NIS 2 » pour « entité et réseau critique » du 17 octobre 2024 ?
Règlement DORA (Digital Operational Resilience Act) pour « entités financières » et prestataires IT sur « Fonctions Critiques ou Importantes » ?
Cyber Resilience Act pour [LOGICIEL connecté avec ou sans matériel] ?
Loi de Programmation Militaire LPM 2023 ?
Vous êtes « entité régulée » ? Vous êtes prestataire d’une « entité régulée » ? Vous êtes « fabricant » d’un [produit CRA] ? Vous êtes client « utilisateur » d’un [produit CRA] IMPORTANT ou CRITIQUE ?
Vous ne savez pas quelle législation cyber-sécurité s’applique à votre entreprise ?
Nous vous rappelons que les autorités de contrôle (CNIL, ANSSI, etc.) :
– ne sont JAMAIS responsables de vos choix de positionnement juridique au regard de la législation applicable.
– sont libres, en cas de contrôle, de requalifier d’office vos choix de positionnement, auquel cas votre entreprise est alors « négligente », donc sanctionnable.
L’exemple de la Directive NIS2
Pour savoir si votre entreprise est assujettie à NIS2, l’ANSSI vous propose en ligne un questionnaire indicatif (en version beta) et précise dans sa home page :
« Il est préférable d’associer des compétences juridiques à la démarche d’auto-évaluation du statut de l’entité afin de déterminer si celle-ci entre dans le périmètre des entités régulées par la directive NIS 2.
En tout état de cause, recourir au simulateur, dont le résultat est dépendant de l’exactitude des données fournies en entrée, ne dispense pas d’une analyse au vu des textes en vigueur et des circonstances propres à chaque entité.
Les résultats du test sont strictement indicatifs, dans l’attente de l’adoption définitive des textes législatifs et réglementaires de transposition de la directive NIS 2.«
diagnostic positionnement législation cyber-sécurité UE + France :
pourquoi vous en soucier ?
Vos clients peuvent vous demander si vous êtes soumis à NIS2, DORA, à la LPM 2023 et – en cas de réponse erronée ou non conforme à la réalité – engager votre responsabilité contractuelle à l’égard de vos partenaires contractuels et être sanctionné pour négligence par l’autorité de contrôle.
Que vous soyez « entité régulée » ou prestataire sur « Fonctions Critiques ou Importantes » (DORA) ou sur « service essentiel » (NIS2), il vous appartient de prouver, de manière documentée, que votre entreprise applique correctement la bonne législation.
Attention, les appels d’offres de nombreuses entreprises imposent aujourd’hui à leurs futurs prestataires soumissionnaires de justifier de leur niveau effectif de protection cyber et d’en justifier contractuellement.
diagnostic positionnement législation cyber-sécurité UE + France : mode d'emploi
– Nous vous adressons notre questionnaire (très) détaillé et auditable par lien sécurisé;
– Vous le pré-remplissez en collectant les informations relatives à votre entreprise et à votre système d’information;
– Nous le complétons avec vous en RDV en distanciel [sans limitation de durée] et vous bénéficiez de notre expertise vous permettant de positionner votre entreprise et de déterminer (i) le régime des mesures cyber-sécurité qui s’impose à votre entreprise et (ii) quel type de document contractuel vous devez rédiger pour vos clients et vos prestataires IT.
– la garantie « Avocat » : nos échanges et nos conclusions sont tous couverts par le secret professionnel des Avocats (article 223-13 Code pénal).
diagnostic positionnement législation cyber-sécurité UE + France :
téléchargez notre sommaire détaillé
et contactez-nous !
