NIS2 et cabinets d’avocats : qui est concerné et comment se conformer

La directive NIS2 en bref

La directive NIS2 (Network and Information Security 2) est le nouveau cadre européen de cybersécurité, entré en vigueur en janvier 2023 et devantêtre transposé dans chaque État membre avant octobre 2024. Elle remplace la directive NIS1 de 2016 et élargit considérablement le périmètre des entités concernées. L’objectif est d’harmoniser et de renforcer le niveau de cybersécuritéà l’échelle de l’Union européenne, faceà des menaces de plus en plus sophistiquées.

NIS2 distingue deux catégories d’entités : les entités essentielles et les entités importantes. Chacune est soumise à des obligations proportionnées en matière de gestion des risques, de notification des incidents et de gouvernance de la cybersécurité. Les sanctions prévues sont significatives : jusqu’à 10 millions d’euros ou 2% du chiffre d’affaires mondial pour les entités essentielles.

La directive impose également une responsabilité directe des organes de direction, qui doivent approuver les mesures de cybersécurité et suivre une formation adaptée. Cette approche top-down marque un changement de paradigme : la cybersécurité n’est plus un sujet purement technique, mais un enjeu de gouvernance au plus haut niveau du cabinet.

Quels cabinets d’avocats sont concernés ?

La question de l’assujettissement des cabinets d’avocats à NIS2 dépend de plusieurs critères. En premier lieu, les prestataires de services numériques et les fournisseurs de services de confiance sont directement visés. Un cabinet qui opère sa propre infrastructure informatique critique, ou qui fournit des services numériques à ses clients (data rooms, plateformes d’échange sécurisées), peut entrer dans le champ d’application.

Par ailleurs, les cabinets intervenant dans des secteurs réglementés (banque, énergie, santé, transports) peuvent être concernés en tant que sous-traitants ou fournisseurs critiques de ces entités. La chaîne d’approvisionnement est en effet un élément central de NIS2 : les entités assujetties doivent s’assurer que leurs prestataires respectent également des standards élevés de cybersécurité.

Même si un cabinet n’est pas directement assujetti, les exigences de ses clients le contraindront de facto à adopter des mesures conformes. Les grands groupes soumis à NIS2 intègrent désormais des clauses de cybersécurité dans leurs contrats avec les cabinets d’avocats. Se conformer proactivement devient un avantage concurrentiel significatif pour décrocher des mandats auprès de ces clients.

En pratique, les cabinets de plus de 50 collaborateurs ou réalisant plus de 10 millions d’euros de chiffre d’affaires sont les plus susceptibles d’être directement concernés. Cependant, les cabinets de taille plus modeste ne sont pas à l’abri, notamment s’ils traitent des données sensibles ou interviennent dans des secteurs critiques.

Les étapes de mise en conformité NIS2

La première étape consiste à réaliser un audit complet de la posture de cybersécurité du cabinet. Cet audit doit couvrir l’infrastructure informatique, les politiques de sécurité en place, la gestion des accès, le chiffrement des données et les procédures de sauvegarde. Il permettra d’identifier les écarts entre la situation actuelle et les exigences de NIS2, et de prioriser les actions correctives.

La deuxième étape porte sur la mise en place d’une gouvernance de la cybersécurité. Cela implique la désignation d’un responsable de la sécurité des systèmes d’information (RSSI), la rédaction d’une politique de sécurité et la mise en œuvre d’un plan de gestion des incidents. Les associés du cabinet doivent être formés et impliqués dans cette gouvernance, conformément aux exigences de responsabilité de la direction.

La troisième étape concerne le déploiement de mesures techniques proportionnées : chiffrement de bout en bout des communications, authentification multifacteur pour tous les accès, segmentation réseau, surveillance continue des événements de sécurité et tests de pénétration réguliers. Ces mesures doivent être documentées et révisées périodiquement pour s’adapter à l’évolution des menaces.