La directive européenne NIS 2 a pour objet d’élever le niveau de cybersécurité des entreprises de dix-huit secteurs d’activité comme des administrations. Elle doit être transposée en droit français d’ici fin 2024 et fait suite à la directive NIS 1 adoptée en juillet 2016 qui prévoyait le renforcement des capacités nationales de cybersécurité, celles des opérateurs des secteurs économiques clés et celles de quelques plates-formes numériques jugées critiques. NIS 2 va plus loin et s’attache notamment à la sécurité des sous-traitants et des prestataires de services utilisant une infrastructure critique. En parallèle, le Cyber Resilience Act de 2022 est venu fixer un cadre commun en Europe en matière de cybersécurité quand le Cyber Solidarity Act prévoit notamment la mise en place d’un bouclier de cyber défense européen.

À l’échelon national, l’assurance cyber a connu deux changements législatifs majeurs en 2022. À commencer par un arrêté publié en décembre dernier qui a introduit dans le Code des assurances deux nouvelles catégories d’opérations relatives au risque cyber : la catégorie 32 correspond aux « dommages aux biens consécutifs aux atteintes des systèmes d’information et de communication » tandis que la catégorie 33 est relative aux « pertes pécuniaires consécutives aux atteintes des systèmes d’information et de communication ». L’objectif visé est d’améliorer le pilotage économique et réglementaire des polices cyber. Dans son rapport de septembre 2022 sur « Le...