Le non-conformités à la directive NIS2 dans les délais établis par l’ACN exposent les entreprises à des conséquences très lourdes sur les plans sanctionnateur, opérationnel et réputationnel.

Sanctions prévues par le décret législatif 138/2024

Violation des obligations de notification

Le décret législatif 138/2024 établit un régime de sanctions rigoureux : l’omission, l’incomplétude ou la transmission tardive des notifications d’incident significatif (pré-notification sous 24 heures, notification sous 72 heures, rapport final sous un mois) prévues par l’art. 25 entraîne des sanctions administratives importantes.

Violation des obligations de communication

Le défaut d’enregistrement sur le portail de l’ACN ou la non-désignation du référent CSIRT avant le 31 décembre 2025 sont considérés comme des violations des obligations de communication prévues à l’art. 24 et sont passibles de sanctions financières.

Montant des amendes

Les sanctions peuvent atteindre des millions d’euros ou représenter un pourcentage significatif du chiffre d’affaires annuel mondial de l’organisation concernée. Le montant précis varie en fonction de la gravité de la violation et du type d’entité (essentielle ou importante).

Risques opérationnels et réputationnels

• Interruptions opérationnelles : Sans un référent CSIRT expérimenté et sans plan de réponse, les cyberattaques éventuelles provoquent des périodes d’inactivité prolongées et des pertes économiques dues à l’incapacité de fournir les services.
• Dommages à la réputation : Une gestion inadéquate des incidents ou la réception de sanctions de la part de l’ACN peut menacer la confiance des clients et des partenaires, mettant en péril la compétitivité de l’entreprise.
• Inspections et surveillance : La non-nomination du référent constitue un signal critique pouvant déclencher des inspections et une surveillance directe de la part de l’Agence pour la cybersécurité nationale (ACN).
• Perte de conformité : Sans référent, la chaîne de notification est interrompue et l’organisation est considérée comme non conforme à la directive.

Le danger du point de défaillance unique humain

• Nomination de remplaçants : La Détermination 333017/2025 permet de désigner un ou plusieurs remplaçants du référent CSIRT possédant des compétences techniques analogues. Cette option permet d’éviter que l’organisation ne reste sans couverture en cas d’indisponibilité du référent principal.
• Disponibilité 24h/24 : Les référents (ou leurs remplaçants) doivent être joignables à tout moment pour garantir la rapidité des notifications et respecter les délais légaux.
• Paralysie décisionnelle : Sans procédures internes claires et sans remplaçants désignés, même quelques minutes d’incertitude sur « qui fait quoi » peuvent aggraver les dommages en cas d’attaque.

Échéances et obligations

• Désignation du référent : L’enregistrement sur le portail de l’ACN est disponible du 20 novembre au 31 décembre 2025.
• Décembre 2025 : Durant ce mois, il n’est pas possible de transmettre des déclarations 2025 utiles pour l’enregistrement.
• Nouvel enregistrement 2026 : Du 1er janvier au 28 février 2026, les organisations NIS doivent envoyer une nouvelle déclaration pour confirmer ou mettre à jour les données saisies l’année précédente.

Conséquences d’une gestion superficielle

Négliger la nomination du référent CSIRT ou opérer sans procédures adéquates expose l’organisation à des sanctions légales et à des impacts opérationnels qui mettent sérieusement en péril la survie de l’entreprise dans l’économie numérique actuelle.

Analogie

Le système de défense d’une entreprise peut être comparé à un système de protection incendie. Le point de contact agit comme le responsable des relations extérieures, tandis que le référent CSIRT est le chef de l’équipe d’urgence interne, prêt à intervenir. Ne pas prévoir de remplaçants équivaut à avoir des alarmes mais personne pour intervenir, laissant l’entreprise vulnérable au moment où elle en a le plus besoin.