NIS2 et Loi 05-20 : conformité croisée

Deux cadres, un même esprit de fond

La directive NIS2 (transposée dans les législations nationales européennes depuis octobre 2024) et la Loi 05-20 relative à la cybersécurité au Maroc (en vigueur depuis juin 2020) partagent une philosophie commune : imposer aux organisations opérant des infrastructures critiques ou des services essentiels une hygiène minimale de cybersécurité, une obligation de notification des incidents et une gouvernance formalissée.

Leurs différences tiennent au périmètre d'application (les entités assujetties ne sont pas strictement identiques), aux délais de notification (72h pour NIS2, calendrier variable en Loi 05-20), aux autorités compétentes (ANSSI et homologues nationaux en Europe, DGSSI au Maroc), et au degré de formalisme exigé sur les mesures techniques. Pour les groupes bi-continentaux, ces différences créent frictions et doublons si elles ne sont pas gérées de manière unifiée.

Construire un socle commun, adapter localement

La clé d'une conformité efficiente en environnement multi-juridictionnel est d'éviter la duplication des dispositifs. Cela implique d'abord d'identifier les exigences communes (gouvernance de la sécurité, gestion des incidents, sécurité de la chaîne de sous-traitance, mesures techniques essentielles) et de les mettre en œuvre une seule fois dans un référentiel centralisé. Les spécificités locales — notifications aux autorités, livrables formalisés, langues des documents — sont ensuite gérées comme des déclinaisons de ce socle.

Cette approche réduit la charge opérationnelle des équipes sécurité et conformité, améliore la lisibilité globale pour les audits et les partenaires, et permet des arbitrages budgétaires plus clairs en liant chaque chantier à l'exigence précise qui le justifie.

Les quatre étapes de notre méthode

Notre démarche de mise en conformité croisée NIS2 / Loi 05-20 s'articule en quatre phases. La première est la cartographie des obligations : nous dressons la matrice des exigences applicables par entité (filiales, périmètres concernés) et identifions celles qui sont communes, redondantes ou contradictoires entre les deux cadres.

La deuxième phase est l'analyse des écarts : nous évaluons la distance entre vos pratiques actuelles et les exigences de chaque cadre, en priorisant les écarts à risque immédiat (absence de plan de réponse à incident, chaîne de sous-traitance non auditée, absence de journalisation).

La troisième phase est la construction du plan de remédiation : nous définissons les chantiers prioritaires, estimons les ressources nécessaires et proposons un séquencement tenant compte des calendriers réglementaires (dates d'audit DGSSI, reporting NIS2 national).

La quatrième phase, enfin, est le pilotage de la trajectoire : nous proposons un tableau de bord exécutif commun aux entités concernées, avec des indicateurs de progression traçables et des signaux d'alerte en cas de dérive par rapport à la feuille de route.

Points d'attention pour les opérateurs franco-marocains

Plusieurs points nécessitent une attention particulière. D'abord, les transferts de données personnelles hors UE vers le Maroc, qui doivent être encadrés par des CCT (Clauses Contractuelles Types) ou une décision d'adéquation — la CNDP marocaine publie ses propres recommandations sur le sujet. Ensuite, la gestion des sous-traitants partagés entre les deux zones géographiques, qui doivent répondre aux exigences de sécurité des deux cadres. Enfin, la coordination entre les équipes RSSI locales et le RSSI groupe, qui doit être formalisée pour éviter les zones grises lors d'un incident affectant les deux périmètres simultanément.