La directive européenne sur la cybersécurité (NIS 2) deviendra bientôt du droit autrichien. La pression sur les entreprises s’en trouve nettement accrue. Ceux qui sont préparés n’ont à craindre ni responsabilité commerciale ni responsabilité personnelle. Le projet de nouvelle loi NIS (NISG) est, depuis avril 2025, en procédure de notification auprès de l’UE, dont la conclusion est attendue au cours de l’année.
Besoin urgent d’agir
« Ceux qui n’ont encore rien entrepris devraient désormais passer à l’action – autorités, clients et partenaires attendent déjà des mesures visibles », avertit Thomas Simon, expert en cybersécurité chez BDO.
Qui est concerné par NIS 2 ?
Outre des secteurs comme l’énergie et la santé, les nouvelles dispositions s’appliquent également aux prestataires de services informatiques, éditeurs de logiciels, logistique, commerce de gros, construction de machines, plateformes numériques, services postaux et hébergeurs. Sont déjà concernés les entreprises comptant à partir de 50 employés ou réalisant un chiffre d’affaires annuel supérieur à 10 millions d’euros.
Quelles sont les exigences ?
Il est obligatoire de mettre en place une gestion structurée des risques pour les systèmes informatiques, une obligation de notification sous 24 heures en cas d’incident de sécurité, un contrôle des prestataires de services informatiques, un concept de sécurité pour la chaîne d’approvisionnement ainsi qu’un ISMS (système de gestion de la sécurité de l’information) opérationnel. La direction doit également être impliquée.
De lourdes sanctions menacent
En cas de violation, des amendes pouvant aller jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial sont prévues – selon la classification en « entité essentielle » (par exemple producteurs et opérateurs d’énergie) ou en « entité importante » (par exemple producteurs et distributeurs de denrées alimentaires). À cela s’ajoutent des risques de responsabilité, des pertes de réputation ainsi que l’exclusion d’appels d’offres ou de chaînes d’approvisionnement.
Commencer dès maintenant – ne pas attendre
Beaucoup espèrent un report, mais selon le ministère de l’Intérieur, environ 80 % des exigences de la directive sont déjà incluses dans le projet de loi, qui sera bientôt transposé en droit en vigueur. Ceux qui agissent dès maintenant peuvent réagir de manière structurée et sans pression de temps. Les questions centrales sont les suivantes : votre entreprise est-elle préparée ? Existe-t-il des analyses de risques, des plans d’urgence et un concept de sécurité pour les prestataires ? Votre direction est-elle impliquée ?
« NIS 2 n’est pas un sujet d’avenir », souligne Simon. « Les exigences doivent déjà être respectées aujourd’hui. C’est maintenant le bon moment pour mettre en œuvre des mesures techniques et organisationnelles – de manière responsable et transparente. »
Contact:
Thomas Simon, Director & Prokurist
BDO Austria GmbH
QBC 4 – Am Belvedere 4
1100 Wien
✆ +43 05 70 375 1000
✉ thomas.simon@bdo.at
www.bdo.at
