Et si la nouvelle directive européenne NIS2 avait des répercussions sur votre entreprise?

Le fait d’être interconnectés a largement contribué à la multiplication des transactions internationales. La cybersécurité devient d’autant plus importante que les affaires commerciales se font de façon électronique et que les attaques de pirates ne cessent d’augmenter. L’Union européenne vient d’améliorer le cadre de référence en matière de cybersécurité afin que les entités européennes visées puissent se relever rapidement d’une attaque et maintenir leurs activités quotidiennes.  

Cela vous concerne

Si votre cybersécurité n’est pas robuste, vous risquez de perdre des contrats avec des entreprises européennes ainsi qu’avec des partenaires qui fournissent des biens et services à ces entreprises après s’être approvisionnés chez vous ou pour lesquels vous sous-traitez des services. 

Par exemple, votre entreprise fournit des feuilles d’acier à une entreprise québécoise de moulage. Cette dernière façonne des portes d’automobiles, puis livre ces portes à un constructeur automobile européen. Le constructeur voudra avoir une visibilité sur sa chaîne d’approvisionnement et, par le fait même, remontera la chaîne des fournisseurs afin de s’assurer que tous ont de mesures de cybersécurité robustes, votre entreprise y compris. Attendez-vous donc à devoir faire la démonstration de l’efficacité de vos systèmes de cybersécurité à très court terme. 

Pour éviter des sanctions financières ou des conséquences néfastes, comme la perte de contrats ou l’interdiction temporaire de fournir des services ou d’exercer des activités au bénéfice, en dernier lieu, des entreprises européennes concernées, révisez vos mesures de cybersécurité et préparez votre conformité à la directive NIS2. 

Quelles entreprises québécoises sont visées par la directive NIS2 et pourquoi?

Toutes les entreprises qui fournissent des services ou activités dans l’Union européenne sont concernées. Si vous êtes un sous-traitant ou si vous fournissez des composants ou des services à l’une des entreprises européennes visées, et ce, même au troisième niveau dans la chaîne d’approvisionnement, il vous faudra adapter vos mesures de sécurité pour répondre aux exigences de votre client. Que vous soyez basé en Europe ou que vous y ayez une place d’affaires, ou que vous fournissez des biens ou services à distance à des entités européennes concernées tout en étant basé au Québec, vous êtes également concerné. 

Mais qu’est-ce que la directive NIS2?

La Directive sur la sécurité des réseaux et des systèmes d’information 2 (Network and Information Security) est un ensemble de réglementations et d’exigences de cybersécurité à respecter en vue de garantir un niveau élevé de résilience en matière de cybersécurité dans l’Union européenne. Elle touche les entreprises considérées comme « essentielles » ou « importantes ». 

Quels sont les secteurs visés?

De façon résumée, on parle :

• Du secteur spatial;
• Du secteur alimentaire (incluant la production, la transformation, la distribution);
• De la fabrication industrielle (équipement, machines-outils, moyens de transport et dispositifs électroniques et optiques);
• De l’énergie (électricité, chauffage, pétrole, gaz, hydrogène);
• Des transports (aériens, ferroviaires, maritimes, routiers);
• Des banques;
• Des marchés financiers;
• De la santé (produits pharmaceutiques, appareils médicaux);
• Des technologies de l’information (services numériques) (infrastructures critiques, fournisseurs de services numériques, plateformes de marché en ligne, sites de commerce électronique mettant en relation les vendeurs et acheteurs, et réseaux sociaux);
• De la gestion de déchets et des eaux usées, de la production et la distribution de produits chimiques;
• Des services de sécurité (incluant les fournisseurs de services infonuagiques, les centres de données, les communications électroniques et tous les outils de cybersécurité). 

Et maintenant?

La directive rend maintenant l’entreprise européenne responsable de s’assurer que sa chaîne d’approvisionnement est sécuritaire. Ainsi, non seulement l’entreprise veillera à sa cybersécurité, mais encore elle remontera la chaîne de fournisseurs pour s’assurer que ces derniers, ou tout autre partenaire d’affaires, a des standards de sécurité élevés. Elle doit mettre en œuvre des mesures de sécurité appropriées pour les relations avec les fournisseurs directs et les prestataires de services. Vos clients européens, ainsi que ceux qui fournissent leurs propres biens et services à des clients européens, ne tarderont certainement pas à vous questionner sur votre cybersécurité afin d’avoir une visibilité sur leur chaîne d’approvisionnement. 

À noter que le Digital Operational Resilience Act (DORA) applicable aux services financiers exige maintenant que l’entreprise remonte au quatrième niveau de fournisseurs dans la chaîne d’approvisionnement. 

Notre cabinet, en collaboration notamment avec nos cabinets affiliés en Europe, est à même de vous accompagner dans vos projets d’expansion à l’internationale, y compris pour la transformation numérique.