12 février 2026

Auteurs

Par Louis Paganuzzi, parajuriste, Sedgwick Legal Services

Crédits supplémentaires : Paul Squires – Associé, Sedgwick Legal Services & Luke Moore – Responsable de la criminalistique numérique et de la réponse aux incidents, Sedgwick International UK

Un aperçu stratégique du régime britannique en matière de cybersécurité et de ce qui nous attend.

Résumé

Le projet de loi du gouvernement britannique sur la cybersécurité et la résilience (réseaux et systèmes d'information) (le projet de loi) représente une mise à jour substantielle du régime cyber intersectoriel du Royaume-Uni depuis le règlement de 2018 sur les réseaux et les systèmes d'information (le règlement NIS). Il élargit le champ d'application de la réglementation, renforce les exigences en matière de notification des incidents, accroît les responsabilités de la chaîne d'approvisionnement et renforce les pouvoirs d'exécution. 

Il s'inscrit dans le cadre du programme plus large du gouvernement en matière de sécurité nationale et de ses efforts pour combler le fossé entre les cybermenaces croissantes et les capacités de réponse existantes.

Cet aperçu explique les raisons qui sous-tendent les réformes, les principaux changements proposés, les personnes concernées et la manière dont les organisations doivent se préparer.

Pourquoi le régime NIS est-il mis à jour ? 

L'environnement des cybermenaces auquel sont confrontées les organisations britanniques s'est considérablement intensifié, dans un contexte de développement technologique rapide et d'augmentation du nombre d'acteurs soutenus par des États. Le Centre national de cybersécurité britannique a signalé une recrudescence des incidents cybernétiques, avec des incidents de plus en plus graves et très médiatisés affectant des services essentiels.

Dans le même temps, des organismes de réglementation tels que l'ICO ont souligné la nécessité d'accélérer l'amélioration de la résilience de la chaîne d'approvisionnement, reconnaissant que les dépendances dans les chaînes d'approvisionnement longues et interconnectées constituent une source majeure d'exposition. Cela fait partie des préoccupations récurrentes soulevées dans les discussions politiques du gouvernement, selon lesquelles les exigences actuelles en matière de signalement des incidents ne fournissent pas une visibilité suffisante sur les risques systémiques auxquels sont confrontés les services les plus touchés.

Le projet de loi vise à garantir que la réglementation soit modernisée et reflète les réalités structurelles de l'infrastructure numérique actuelle, où une perturbation chez un seul fournisseur de services peut avoir des conséquences intersectorielles considérables.

Champ d'application élargi

Le projet de loi élargit considérablement le champ d'application des organisations soumises à la réglementation. Outre les opérateurs de services essentiels et les fournisseurs de services numériques concernés existants, le régime accorde une attention particulière à la sécurité de la chaîne d'approvisionnement, à l'instar de la directive NIS2 de l'UE. Il couvre par exemple :

  • Fournisseurs de services gérés (MSP) – fournisseurs de taille moyenne et grande (désignés comme fournisseurs de services gérés pertinents)
  • Fournisseurs de services de centres de données – y compris ceux qui dépassent les seuils de capacité définis ci-dessus
  • Certains contrôleurs de charge importante
  • Fournisseurs critiques désignés – dont l'interruption des services pourrait avoir une incidence importante sur les services essentiels ou numériques

Le champ d'application sera flexible, les régulateurs ayant le pouvoir d'étendre le régime, ce qui leur permettra de désigner les organisations qu'ils considèrent comme des fournisseurs essentiels.

Renforcement du signalement des incidents

Le projet de loi prévoit la déclaration plus rapide des incidents, l'élargissement des seuils de déclaration et l'amélioration du partage d'informations.

En vertu de la réglementation NIS actuelle, les incidents qui atteignent les seuils de notification doivent être signalés à l'autorité de régulation dans les 72 heures. Le nouveau projet de loi modifierait cette position (dans une certaine mesure), s'alignant sur les exigences de la directive NIS2 de l'UE, qui prévoit une notification initiale dans les 24 heures et un suivi dans les 72 heures.

En ce qui concerne les notifications aux clients, en vertu de la réglementation NIS actuelle, le fournisseur est tenu d'informer l'autorité de régulation compétente. Cette dernière peut alors procéder à l'information du public ou exiger du fournisseur qu'il le fasse. Le projet de loi propose de modifier cette disposition en imposant au fournisseur lui-même l'obligation d'informer directement ses clients.

Mécanismes et pouvoirs d'exécution du secrétaire d'État

Le secrétaire d'État disposera également de pouvoirs supplémentaires. Il pourra notamment publier des codes de bonnes pratiques réglementaires, ainsi que des déclarations de priorités stratégiques, qui définiront les objectifs du gouvernement en matière de renforcement de la résilience et de la sécurité des services essentiels.

En outre, le projet de loi introduit un régime d'application plus strict. Les autorités de réglementation disposeront de pouvoirs d'enquête renforcés, d'un nouveau mécanisme légal de recouvrement des coûts par le biais de systèmes de tarification et d'un accès à une structure de sanctions révisée liée au chiffre d'affaires de l'organisation. Les amendes maximales augmentent considérablement, les infractions graves pouvant entraîner des sanctions allant jusqu'à 17 millions de livres sterling ou 4 % du chiffre d'affaires mondial (le montant le plus élevé étant retenu), ainsi que des pénalités journalières supplémentaires en cas de non-conformité et d'infractions persistantes.

Implications pratiques

Les organisations déjà réglementées dans le cadre du NIS doivent évaluer dans quelle mesure le projet de loi pourrait modifier leurs obligations opérationnelles, de gouvernance et de reporting, en particulier celles relatives aux services fournis par l'intermédiaire de prestataires de services gérés. 

Luke Moore, responsable des services de criminalistique numérique et d'intervention en cas d'incident chez Sedgwick, commente : « La nouvelle législation renforce le fait que la cybersécurité relève désormais plus que jamais de la responsabilité ultime du conseil d'administration. Pour répondre à ces exigences, il faut d'abord avoir une vision claire de votre infrastructure et des données que vous détenez, car vous ne pouvez pas vous conformer sans savoir ce que vous exploitez et protégez. Le projet de loi met l'accent sur une évolution vers une action précoce, une surveillance renforcée et des capacités de réponse éprouvées.

Nous travaillons avec nos clients pour prendre dès maintenant des mesures visant à vérifier leurs contrôles et à comprendre leurs infrastructures et leurs risques opérationnels, afin qu'ils soient en bien meilleure position lorsque les nouvelles obligations réglementaires entreront en vigueur.

Bien sûr, le projet de loi n'en est qu'au début de son parcours parlementaire, sa deuxième lecture ayant été achevée début janvier 2026. Le projet de loi va maintenant passer à l'étape de l'examen en commission, où chaque clause sera examinée en détail. Nous encourageons les organisations à suivre l'évolution du projet de loi au fur et à mesure de son parcours au Parlement, afin de s'assurer qu'elles sont prêtes pour les réformes proposées et préparées à un environnement de conformité plus rigoureux à l'avenir.

Comment nous pouvons vous aider

Sedgwick conseille aux organisations de ne pas considérer ce projet de loi comme un simple obstacle à la conformité, mais comme une opportunité stratégique pour renforcer leur résilience, leur gouvernance et leur confiance face aux risques émergents. Nos équipes spécialisées en criminalistique numérique et en droit vous assistent dans les domaines suivants :

  • Audits de résilience des cadres de gouvernance et de reporting cybernétiques
  • Révisions contractuelles des clauses relatives à la sécurité de la chaîne d'approvisionnement et des déclencheurs d'escalade
  • Élaboration de guides d'intervention et de protocoles de communication à l'intention du conseil d'administration
  • Interprétation des obligations et des seuils spécifiques à chaque secteur

De plus, nous proposons des services juridiques et de conformité intégrés qui permettent aux entreprises :

  • Répondre de manière proactive aux attentes réglementaires
  • Communiquer l'état de préparation aux clients, aux conseils d'administration et aux parties prenantes
  • Aligner les investissements technologiques sur les nouvelles obligations légales
  • Renforcer la résilience dans les opérations, la technologie et les chaînes d'approvisionnement

Outre l'assistance juridique et réglementaire fournie par Sedgwick Legal Services, vous pouvez renforcer votre position en adoptant des mesures opérationnelles complémentaires qui vous aideront à démontrer vos capacités concrètes grâce aux services Sedgwick Digital Forensics & Incident Response Services :

  • Audits indépendants d'évaluation cybernétique validant l'efficacité des contrôles et identifiant les faiblesses 
  • Tests proactifs et surveillance continue pour démontrer la résilience face aux menaces émergentes 
  • Évaluations ciblées de l'exploration de données afin de cartographier les données que vous détenez, leur emplacement et les risques d'exposition éventuels. 
  • Amélioration des rapports internes afin que les conclusions techniques se traduisent en informations claires et exploitables pour la gouvernance.

La cyber-résilience est désormais une exigence commerciale. Le projet de loi marque le passage d'une conformité passive à une capacité active. Les organisations qui combinent des conseils juridiques solides et des connaissances opérationnelles fondées sur des preuves seront mieux placées pour mener leurs activités avec confiance, continuité et contrôle.

Pour plus d'informations, veuillez contacter :

Tags : cyber cybercriminalité Cyber-résilience Risque cyber cybersécurité

Plus d'articles similaires

Assainissement du secteur du crédit automobile : pourquoi l'action compte désormais plus que les bonnes intentions Perspectives

Assainissement du secteur du crédit automobile : pourquoi l'action compte désormais plus que les bonnes intentions

Les peptides chinois : innovation, risques et limites de l'auto-expérimentation Perspectives

Les peptides chinois : innovation, risques et limites de l'auto-expérimentation

Les disruptions mondiales se heurtent aux réalités locales de l’économie des réparations dans l’assurance au Royaume‑Uni  Perspectives

Les disruptions mondiales se heurtent aux réalités locales de l’économie des réparations dans l’assurance au Royaume‑Uni 

Langues