Réglementation

NIS2 : la loi résilience arrive à l'Assemblée et transforme l'incident cyber en crise de réputation

Le projet de loi résilience, qui transpose la directive NIS2, doit être examiné en séance publique en juillet 2026. Il impose à 15 000 entités une déclaration d'incident sous 72 heures, faisant de la panne technique un sujet de communication publique.

Rédacteur en chef, France Épargne
6 min de lecture636 vues
Illustration abstraite d'un réseau numérique fracturé se propageant en onde de choc, symbolisant la bascule d'un incident cyber vers une crise de réputation publique

Le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité, dit projet de loi résilience, franchit une étape décisive. Adopté par le Sénat le 12 mars 2025, son examen en commission spéciale à l'Assemblée nationale s'est achevé le 10 septembre 2025. Son passage en séance publique est désormais programmé pour juillet 2026, sous réserve de la convocation d'une session extraordinaire. Ce texte transpose en droit français la directive européenne NIS2 ainsi que la directive sur la résilience des entités critiques (REC), dont l'échéance de transposition, fixée au 17 octobre 2024, est déjà largement dépassée.

Au delà de la mise en conformité technique, cette réforme installe un mécanisme qui change la nature même du risque pour les entreprises : l'obligation de déclarer publiquement ses incidents. Une panne ou une intrusion cesse d'être un problème interne pour devenir, en quelques heures, un sujet de communication exposé au regard des clients, des partenaires et de la presse.

Un périmètre qui passe de 500 à 15 000 entités

La directive NIS2 élargit considérablement le champ des organisations soumises à des obligations de cybersécurité. En France, le nombre d'entités concernées passe d'environ 500 sous le régime NIS1 à une fourchette de 15 000, réparties sur dix huit secteurs jugés critiques : énergie, transport, santé, secteur bancaire, infrastructures numériques, gestion des déchets, chimie, production alimentaire ou encore recherche.

Le texte distingue deux catégories. Les entités essentielles regroupent les structures de plus de 250 salariés, ou dépassant 50 millions d'euros de chiffre d'affaires, ou 43 millions d'euros de bilan annuel. Les entités importantes couvrent celles comptant entre 50 et 249 salariés, ou réalisant de 10 à 50 millions d'euros de chiffre d'affaires. Les premières relèvent d'une supervision proactive, les secondes d'un contrôle réactif.

Le manquement se paie cher. Une entité essentielle s'expose à une sanction pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires mondial, une entité importante à 7 millions d'euros ou 1,4 %. Le texte instaure par ailleurs une responsabilité au niveau de la direction : les dirigeants doivent approuver la politique de gestion des risques et peuvent être tenus personnellement responsables en cas de négligence grave.

La déclaration d'incident, point de bascule vers la crise publique

Le cœur du dispositif tient dans un calendrier de notification en trois temps auprès de l'Agence nationale de la sécurité des systèmes d'information (ANSSI) : une alerte précoce sous 24 heures, une notification détaillée sous 72 heures, puis un rapport final sous un mois. Les entités concernées devront s'enregistrer via la plateforme MonEspaceNIS2, mise en place par l'ANSSI.

Ce calendrier resserré prolonge une logique déjà à l'œuvre dans le secteur financier. Le règlement européen DORA sur la résilience opérationnelle numérique s'applique depuis le 17 janvier 2025 et impose à plus de 22 000 entités financières européennes de déclarer leurs incidents majeurs liés aux technologies de l'information selon une procédure dédiée. Banques, assureurs et prestataires informatiques évoluent donc déjà dans un environnement où le signalement rapide est la norme.

La conséquence est directe : un incident technique déclenche désormais un compte à rebours réglementaire qui coïncide avec l'emballement médiatique. Une entreprise qui notifie une intrusion à l'ANSSI doit, dans le même mouvement, préparer sa parole publique. Le sujet quitte le champ des équipes informatiques pour rejoindre celui de la direction générale et de la communication.

Une facture dominée par les coûts indirects

Les chiffres disponibles sur le coût réel des incidents éclairent cet enjeu. Selon les données relayées par Cybermalveillance.gouv.fr, une attaque ciblée d'intensité moyenne coûte à une petite ou moyenne entreprise française une somme médiane comprise entre 50 000 et 150 000 euros, la fourchette haute pouvant atteindre 466 000 euros. La moitié de ce coût provient des pertes d'exploitation liées à l'interruption d'activité.

Les effets sur la clientèle sont tout aussi marquants. Parmi les entreprises touchées, 47 % déclarent avoir perdu des prospects dans les mois suivant l'incident et 43 % avoir perdu des clients. La communication de crise, souvent confiée à des prestataires externes pour gérer les relations presse et les réponses aux clients, constitue un poste de dépense à part entière, distinct des frais techniques de remédiation.

Les impacts indirects, à savoir l'interruption d'activité, la perte de clients et l'atteinte à la réputation, peuvent s'avérer plus néfastes que le coût technique immédiat de l'attaque.

Le marché de l'assurance réputation en forte croissance

Cette montée du risque immatériel se lit dans les chiffres du marché assurantiel. Le marché mondial de l'assurance du risque de réputation représentait 11,8 milliards de dollars en 2024 et pourrait atteindre 30,8 milliards de dollars en 2033, selon les projections de DataIntelo, soit une croissance annuelle moyenne de 11,2 %. L'Europe en constitue le deuxième pôle avec près de 3,7 milliards de dollars, portée par un cadre réglementaire exigeant.

Les contrats classiques laissent une zone d'ombre : ils indemnisent le dommage matériel ou la responsabilité civile, mais rarement les honoraires d'agence de communication, la surveillance de l'image en ligne ou les campagnes de restauration menées après une crise. C'est précisément ce vide que cherchent à combler les offres spécialisées. Face à ces échéances réglementaires, dirigeants et entreprises exposées peuvent envisager de souscrire une assurance dédiée à la gestion de crise et à la réputation, qui prend en charge la mobilisation d'experts, la défense juridique et les frais de communication d'urgence.

Ces garanties couvrent généralement les honoraires de conseil en communication, la défense contre la diffamation et les atteintes au droit à l'image, la surveillance continue de la réputation en ligne, ainsi que les campagnes de restauration menées une fois la crise passée. Le déclenchement rapide, avec une mobilisation d'experts en moins de 24 heures, répond directement au calendrier serré imposé par NIS2 et DORA.

Ce qu'il faut surveiller

L'agenda parlementaire reste le principal facteur d'incertitude. L'examen en séance publique dépend de la tenue d'une session extraordinaire cet été, et un point de blocage subsiste autour de l'article 16 bis, introduit au Sénat, qui interdit d'imposer des portes dérobées aux fournisseurs de services de chiffrement, une disposition contestée par la direction générale de la Sécurité intérieure. Une fois la loi promulguée, l'ANSSI publiera les décrets et arrêtés précisant les normes techniques applicables.

Pour les entreprises, la période qui s'ouvre appelle une double préparation. La conformité technique et organisationnelle d'abord, avec un délai de mise en œuvre annoncé de trois ans après l'entrée en vigueur. La préparation à la communication de crise ensuite, car la notification obligatoire rend chaque incident potentiellement public. Les organisations qui anticipent ce second volet, en articulant plan de continuité, cellule de crise et couverture assurantielle adaptée, aborderont la réforme avec une longueur d'avance.

Sources

  • Assemblée nationale, dossier législatif du projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité
  • Sénat, rapport sur le projet de loi résilience (adoption en première lecture le 12 mars 2025)
  • ANSSI, dispositif de transposition de la directive NIS2 et plateforme MonEspaceNIS2
  • ACPR, entrée en application du règlement DORA le 17 janvier 2025
  • Cybermalveillance.gouv.fr, baromètre de la maturité cyber des TPE et PME
  • DataIntelo, Reputational Risk Insurance Market Research Report 2033

Tags :

#nis2#loi-resilience#cybersecurite#anssi#dora#risque-reputation#assurance#communication-de-crise

À propos de l'auteur

Emmanuel d'Ibelin

Rédacteur en chef, France Épargne

Emmanuel d'Ibelin dirige la rédaction de France Épargne. Juriste de formation, titulaire d'un master de droit des affaires, il analyse au quotidien les annonces des banques centrales, les évolutions réglementaires et les opportunités d'investissement pour les épargnants français.