12 février 2026

Auteurs

Par Louis Paganuzzi, parajuriste, Sedgwick Legal Services

Crédit d’auteur supplémentaire : Paul Squires – Associé, Sedgwick Services juridiques & Luke Moore – Chef de la criminalistique numérique et de la réponse aux incidents, Sedgwick International UK

Un aperçu stratégique du régime de cybersécurité du Royaume-Uni et de ce qui s’en vient.

Résumé exécutif

Le projet de loi du gouvernement britannique sur la cybersécurité et la résilience (réseaux et systèmes d’information) (le projet de loi) représente une mise à jour substantielle du régime cybernétique intersectoriel du Royaume-Uni depuis le Règlement sur les réseaux et les systèmes d’information de 2018 (les règlements NIS). Elle y parvient en élargissant la portée réglementaire, en augmentant les exigences de signalement d’incidents, en offrant des responsabilités accrues dans la chaîne d’approvisionnement et en renforçant les pouvoirs d’application. 

Elle fait partie de l’agenda plus large de sécurité nationale du gouvernement et de ses efforts pour combler l’écart entre l’escalade des menaces cybernétiques et les capacités de réponse existantes.

Cette analyse explique la raison d’être derrière ces réformes, les changements clés proposés, qui sera affecté et comment les organisations devraient se préparer.

Pourquoi le régime du SNI est-il mis à jour 

L’environnement de cybermenace auquel font face les organisations britanniques s’est considérablement intensifié, dans un contexte de développement technologique rapide et d’une augmentation des acteurs soutenus par l’État. Le Centre national de cybersécurité du Royaume-Uni a signalé une augmentation des incidents cybernétiques, avec des incidents de plus en plus graves et très médiatisés affectant les services essentiels.

Parallèlement, des organismes de réglementation comme l’ICO ont souligné la nécessité d’accélérer les améliorations de la résilience des chaînes d’approvisionnement – reconnaissant que les dépendances dans les longues chaînes d’approvisionnement interconnectées sont une source majeure d’exposition. Cela fait partie des préoccupations récurrentes, soulevées dans les discussions politiques gouvernementales, selon lesquelles les exigences actuelles de signalement d’incidents n’offrent pas une visibilité suffisante sur les risques systémiques auxquels font face les services les plus touchés.

Le projet de loi vise à moderniser les règlements et à refléter les réalités structurelles de l’infrastructure numérique actuelle, où la perturbation chez un seul fournisseur de services peut entraîner des conséquences intersectorielles de grande envergure.

Champ élargi

Le projet de loi élargit considérablement la portée des organisations soumises à la réglementation. En plus des opérateurs de services essentiels et des fournisseurs de services numériques pertinents existants, le régime porte son attention sur la sécurité de la chaîne d’approvisionnement, similaire à celle du NIS2 de l’UE. Par exemple, couvrir :

  • Fournisseurs de services gérés (MSP) – fournisseurs moyens et grands (désignés comme fournisseurs de services gérés pertinents)
  • Fournisseurs de services de centres de données – y compris ceux au-delà des seuils de capacité définis
  • Certains contrôleurs de grosse charge
  • Fournisseurs critiques désignés – où une interruption de service pourrait affecter de manière significative les services essentiels ou numériques

La portée sera flexible, les régulateurs ayant le pouvoir d’élargir le régime, leur permettant de désigner les organisations qu’ils considèrent comme des fournisseurs essentiels.

Renforcement du signalement des incidents

Le projet de loi introduit des rapports d’incidents plus précoces, des seuils de signalement plus larges et un partage d’information renforcé.

Selon les règlements actuels du NIS, les incidents qui atteignent les seuils de signalement doivent être signalés au régulateur dans un délai de 72 heures. Le nouveau projet de loi modifierait cette position (dans une certaine mesure), en s’alignant sur les exigences que nous voyons dans la directive européenne NIS2, qui prévoient une notification initiale de 24 heures et un suivi dans les 72 heures.

En ce qui concerne les notifications aux clients, selon les règlements actuels du NIS, le fournisseur est tenu d’en informer le régulateur compétent. Ce régulateur peut alors procéder à en informer le public ou à exiger que le fournisseur le fasse. Le projet de loi propose de modifier cela, en plaçant l’obligation au fournisseur lui-même d’aviser directement les clients.

Mécanismes et pouvoirs d’application du Secrétaire d’État

Le secrétaire d’État aura également des pouvoirs supplémentaires. Cela inclut la capacité d’émettre des codes de pratique statutaires, ainsi que des Énoncés de priorités stratégiques, qui définissent les objectifs du gouvernement pour renforcer la résilience et la sécurité dans l’ensemble des services essentiels.

De plus, le projet de loi introduit un régime d’application renforcé. Les régulateurs disposeront de pouvoirs d’enquête renforcés, d’un nouveau mécanisme légal de recouvrement des coûts grâce à des régimes de recharge et d’un accès à une structure de pénalité révisée liée au roulement organisationnel. Les amendes maximales augmentent considérablement, les violations graves entraînant des sanctions allant jusqu’à 17 millions de livres sterling ou 4% du chiffre d’affaires mondial (selon le montant le plus élevé), ainsi que des pénalités quotidiennes supplémentaires pour non-conformité et manquements continus.

Implications pratiques

Les organisations déjà réglementées dans le cadre du NIS devraient évaluer comment le projet de loi pourrait modifier leurs obligations opérationnelles, de gouvernance et de rapport, en particulier les services fournis par les fournisseurs de services gérés. 

Luke Moore, chef des services de criminalistique numérique et de réponse aux incidents chez Sedgwick, commente que « La nouvelle législation renforce que la cybersécurité est, plus que jamais, ultimement une responsabilité au niveau du conseil d’administration. Répondre à ces exigences commence par la clarté concernant votre infrastructure et les données que vous détenez, car vous ne pouvez pas vous conformer sans savoir ce que vous exploitez et protégez. Le projet de loi met en lumière un virage vers une action précoce, une surveillance renforcée et des capacités de réponse éprouvées.

Nous travaillons avec nos clients pour prendre des mesures dès maintenant, vérifier leurs contrôles et comprendre leurs infrastructures et leurs risques opérationnels, afin qu’ils soient dans une position beaucoup plus forte lorsque les nouvelles obligations réglementaires entreront en vigueur. »

Bien sûr, le projet de loi n’en est qu’au début de son parcours parlementaire, avec sa deuxième lecture complétée au début de janvier 2026. Le projet de loi entrera maintenant en comité, où un examen détaillé article par article aura lieu. Nous encourageons les organisations à surveiller l’évolution du projet de loi au fil de son avancement au Parlement, afin de s’assurer qu’elles sont prêtes pour les réformes proposées et préparées à un environnement de conformité plus rigoureux à venir.

Comment nous pouvons aider

Sedgwick conseille aux organisations d’aborder le projet de loi non seulement comme un obstacle à la conformité, mais aussi comme une occasion stratégique de renforcer la résilience, la gouvernance et la confiance à la lumière des risques émergents. Nos équipes spécialisées en criminalistique numérique et juridiques assistent pour :

  • Audits de résilience des cadres de gouvernance et de rapports cybernétiques
  • Révisions contractuelles pour les clauses de sécurité de la chaîne d’approvisionnement et les déclencheurs d’escalade
  • Élaboration de manuels d’incidents et de protocoles de rapport au niveau du conseil
  • Interprétation des obligations et seuils spécifiques au secteur

De plus, nous offrons des services juridiques et de conformité intégrés qui permettent aux entreprises de :

  • Répondez de manière proactive aux attentes réglementaires
  • Communiquer votre préparation aux clients, conseils d’administration et parties prenantes
  • Aligner les investissements technologiques sur les obligations légales émergentes
  • Renforcer la résilience à travers les opérations, la technologie et les chaînes d’approvisionnement

En plus du soutien juridique et réglementaire fourni par Sedgwick Legal Services, vous pouvez renforcer votre position en adoptant des mesures opérationnelles complémentaires qui aident à démontrer des capacités concrètes via Sedgwick Digital Forensics & Incident Response Services :

  • Audits indépendants d’évaluation cybernétique validant l’efficacité des contrôles et identifiant les faiblesses 
  • Tests proactifs et surveillance continue pour démontrer sa résilience face aux menaces émergentes 
  • Évaluations ciblées d’exploration de données pour cartographier les données que vous détenez, où elles résident et où l’exposition peut exister 
  • Amélioration des rapports internes pour que les résultats techniques se traduisent par des informations claires et exploitables pour la gouvernance

La cyberrésilience est maintenant une exigence pour les affaires. Le projet de loi marque un passage de la conformité passive à la capacité active. Les organisations qui combinent de solides orientations juridiques avec des analyses opérationnelles fondées sur des preuves seront mieux placées pour diriger en matière de confiance, de continuité et de contrôle.

Pour plus d’informations, veuillez contacter :

Mots-clés : cyber Cybercriminalité Résilience cybernétique Risque cybernétique Cybersécurité

Plus d’articles comme celui-ci

Remédiation de la finance automobile : pourquoi l’exécution aujourd’hui compte plus que l’intention Réflexions

Remédiation de la finance automobile : pourquoi l’exécution aujourd’hui compte plus que l’intention

Peptides chinois : innovation, risque et limites de l’auto-expérimentation Réflexions

Peptides chinois : innovation, risque et limites de l’auto-expérimentation

La perturbation mondiale rencontre la réalité locale pour l’économie des réparations d’assurance au Royaume-Uni Réflexions

La perturbation mondiale rencontre la réalité locale pour l’économie des réparations d’assurance au Royaume-Uni

Langues