NIS1 NIS2 – NIS qui ?
Articles

NIS1 NIS2 – NIS qui ?

Adi Marcus, Avocat

Écrit par

Adi Marcus, Avocat | Gabriel Marcus
mars 2, 2026
Impression
PDF

Dans le monde des affaires de 2026, la sécurité de l'information n'est plus seulement un problème technique relevant de la responsabilité exclusive du personnel de développement et de l'informatique. Avec l'entrée en vigueur des derniers amendements à la directive européenne NIS2 et la promulgation du mémorandum de la loi nationale israélienne sur la cyberdéfense de 2026[1], la responsabilité juridique des cyberincidents est passée de la salle des serveurs directement à la table du conseil d'administration.

Au cours de la dernière décennie, la réglementation mondiale en matière de cybersécurité a connu un processus de maturation accéléré. Pour les entreprises israéliennes opérant sur la scène internationale, comprendre le calendrier réglementaire n'est plus une question de « conformité technique », mais une condition préalable à la survie commerciale et juridique. Le processus a commencé en 2016 avec l'adoption de la directive européenne NIS1.[2] Cette directive se concentrait sur les « opérateurs de services essentiels » (infrastructures nationales) et était largement volontaire pour le secteur des entreprises au sens large.

Cependant, un tournant dramatique s'est produit en 2024 avec l'entrée en vigueur de la directive NIS2,[3] qui a élargi le champ d'application de la réglementation à 18 secteurs différents - y compris la fabrication, l'alimentation, la gestion des déchets et les services numériques. Elle a imposé des obligations de déclaration strictes et établi que la direction de l'entreprise porte la responsabilité directe de l'adoption de mesures de protection adéquates. Bien qu'il s'agisse d'une législation européenne, son impact sur l'économie israélienne est critique : toute entreprise israélienne fournissant des services à l'UE, opérant sur son territoire ou agissant comme un maillon de la chaîne d'approvisionnement d'une entité européenne, est tenue de respecter ces normes.

En janvier 2026, l'Union européenne a introduit des changements significatifs (le « Paquet Cyber 2026 »[4]) conçus pour faire face aux risques géopolitiques et aux attaques par ransomware. Parallèlement, en Israël, le mémorandum de la loi sur la cyberdéfense de 2026 impose des obligations similaires aux entités définies comme « fournisseurs de services numériques » et « infrastructures essentielles », cherchant à exiger des entreprises qu'elles fassent preuve de diligence raisonnable en matière de cybersécurité (Cyber Due Diligence) pour chaque fournisseur de leur chaîne d'approvisionnement. Tant qu'une entreprise opère en tant que fournisseur de logiciels ou d'informatique, il est fort probable que ses clients exigent une preuve de conformité aux normes NIS2 comme condition préalable à un engagement contractuel. conçus pour faire face aux risques géopolitiques et aux attaques par ransomware. Parallèlement, en Israël, le mémorandum de la loi sur la cyberdéfense de 2026 impose des obligations similaires aux entités définies comme « fournisseurs de services numériques » et « infrastructures essentielles », cherchant à exiger des entreprises qu'elles fassent preuve de diligence raisonnable en matière de cybersécurité (Cyber Due Diligence) pour chaque fournisseur de leur chaîne d'approvisionnement. Tant qu'une entreprise opère en tant que fournisseur de logiciels ou d'informatique, il est fort probable que ses clients exigent une preuve de conformité aux normes NIS2 comme condition préalable à un engagement contractuel.

La réglementation mise à jour exige également de signaler tout cyberincident significatif dans les 24 heures, y compris des détails sur les attaques par ransomware, ce qui conduit à une exposition importante des activités de l'entreprise en temps de crise. De plus, la responsabilité ne peut plus être exclusivement déléguée au responsable de la sécurité des systèmes d'information (RSSI/CISO) ; les cadres dirigeants sont désormais tenus de suivre une formation en cybersécurité et d'approuver explicitement les plans de défense organisationnels. Si un cyberincident se produit et qu'il est avéré que l'entreprise n'a pas investi les ressources nécessaires, les implications pourraient inclure des sanctions financières personnelles à l'encontre des membres du conseil d'administration et des dirigeants, voire une suspension de leurs fonctions.

Le mémorandum de la loi israélienne a encore élargi la portée : les entreprises de développement de logiciels, de stockage cloud et de gestion de systèmes informatiques employant plus de 50 travailleurs ou ayant un chiffre d'affaires dépassant les 40 millions d'ILS seront classées comme « organisation essentielle », soumises à la supervision directe de la Direction nationale de la cybersécurité et à une application stricte de la loi.

Ainsi, dans l'ère réglementaire de 2026, la cybersécurité a cessé d'être un problème purement technologique et est devenue un élément central de la gestion des risques juridiques, où le conseil juridique expert combiné au conseil en cybersécurité constitue la première ligne de défense de l'organisation. Au-delà du besoin urgent d'un accompagnement juridique étroit pour construire des « murs défensifs » autour du conseil d'administration et des dirigeants afin d'éviter l'exposition aux poursuites et à la responsabilité personnelle, il est crucial de se préparer à l'avance avec un processus de diligence raisonnable en matière de cybersécurité organisationnelle. En fin de compte, l'intégration de l'expertise technologique à une compréhension juridique approfondie est le seul moyen de fournir à l'organisation une présomption de régularité juridique et d'offrir une tranquillité d'esprit aux dirigeants face au régulateur et au marché mondial. De plus, une entreprise qui ne le fait pas pourrait se retrouver dans l'incapacité de faire des affaires avec des entreprises européennes.

[1]Mémorandum de la loi nationale sur la cyberdéfense, 2026, publié en Israël pour commentaires publics le 22 janvier 2026.

[2]Directive (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union.

[3] Directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l'ensemble de l'Union.

[4] Proposition de directive du Parlement européen et du Conseil modifiant la directive (UE) 2022/2555 en ce qui concerne les mesures de simplification et l'allègement administratif pour les petites entreprises de taille intermédiaire (Soumise en janvier 2026).

 

Articles connexes

juillet 29, 2025
Vie privée, DPO et ce que contient l’Amendement
Vie privée, GDPR, Confidentialité et protection de la réputation
Services de délégué à la protection des données (DPD)
High-Tech et Technologie
Si votre entreprise stocke d’une manière ou d’une autre des informations sur des clients, des employés ou des utilisateurs, même s’il s’agit d’informations génériques et assez simples, telles qu’une liste d’adresses électroniques ou d’utilisateurs sur le site, sachez qu’à partir d’août 2025, l’Amendement 13 de la Loi israélienne sur la Protection de la Vie Privée […]
décembre 21, 2021
À propos des avocats et des affaires entre l’Amérique latine et Israël
Crypto-monnaie, NFT et Web-3
Droit Bancaire, Commercial et Financier
Services d’atterrissage en douceur en Israël
La pratique de l’ouverture d’un compte bancaire est devenue si évidente en ces temps modernes et mondiaux que nous percevons le droit d’ouvrir et de gérer un compte bancaire comme un droit fondamental, presque un droit constitutionnel… Mais la banque peut-elle refuser d’ouvrir un compte uniquement parce qu’elle n’aime pas mon domaine d’exercice ? La […]
avril 17, 2021
Quelques réflexions sur la prise de contrôle hostile du monde des affaires par l’Europe
Droit Bancaire, Commercial et Financier
European Law and Regulations
Vie privée, GDPR, Confidentialité et protection de la réputation
En 2018, une prise de contrôle hostile européenne du monde des affaires mondial a commencé. Vous ne l’avez pas remarqué ? Si votre entreprise fait des affaires avec des entités de l’UE ou contacte des clients de l’UE, il est probable que vous le ressentiez. Le nom de code donné à l’opération de rachat : […]
juillet 13, 2019
Des cryptomonnaies, de la fiscalité et de la façon dont une monnaie nicaraguayenne fictive surgit en Israël
Crypto-monnaie, NFT et Web-3
Transactions et litiges internationaux et « atterrissage en douceur » israélien
Droit Bancaire, Commercial et Financier
En me promenant à Tel Aviv, j’ai vu sur le trottoir un panneau en hébreu et en anglais indiquant que toute motocyclette empruntant le passage piéton était passible d’une amende de 250 ₪. Le panneau était rédigé en hébreu et en anglais. Le texte hébreu utilisait le symbole de la devise, mais en anglais — […]

Comment pouvons-nous aider?

Nous serons heureux de vous aider par téléphone ou d'organiser une réunion. Vous pouvez remplir les détails en cliquant sur "Contactez-nous" à droite et nous serons heureux de vous répondre.

Contactez-nous