La directive NIS 2 est un nouveau cadre légal qui vise à renforcer la cybersécurité à l’échelle de l’Union Européenne. Qui est concerné par cette directive ? Nous vous en disons plus dans cet article.
nis 1 à nis 2 : qu’est-ce qui change ?
Vols de données bancaires ou de données personnelles, piratages d’hôpitaux : l’actualité cybersécurité est permanente. Elle concerne toutes les entreprises, de toutes tailles et de tous les secteurs. La directive NIS (Network and Information Security) s’est appliquée en Europe à partir de 2018 et a émergé du constat que ces attaques ne pourraient pas être empêchées.
La directive NIS a donc été le premier axe législatif à l’échelle de l’Union Européenne concernant la cybersécurité. Le principal objectif de cette directive était d’améliorer la sécurité des réseaux et des systèmes d’information des entreprises.
Elle a eu pour conséquence la désignation d’environ 300 entreprises comme “opérateurs d’importance vitale” en France. Ces sociétés ont alors eu des obligations de sécurisation renforcée puisque l’État considère que leur défaillance, en cas de cyberattaque, déstabiliserait le fonctionnement du pays.
la publication européenne de nis 2
Mais cette première version de la directive s’est avérée insuffisante. L’Union Européenne a donc estimé que la mise à jour de NIS 1 était indispensable pour être à la hauteur des enjeux actuels en cybersécurité. De nombreux changements ont donc été apporté par NIS 2, publiée le 27 décembre 2022 au Journal officiel de l’Union Européenne.
sa transposition dans la loi française
En France, la transposition de la directive en droit national est en cours. En effet, chaque État membre doit adapter ses réglementations internes pour se conformer aux exigences de NIS 2.
Le projet de loi prévoit que l’ANSSI sera chargée de la mise en œuvre et du contrôle de la politique du gouvernement en matière de sécurité des systèmes d’information. Les entités régulées devront notamment fournir certaines informations à l’ANSSI et déclarer leurs incidents de sécurité, sous peine de sanction en cas de manquement.
la directive nis 2 : êtes-vous concernés ?
NIS 2 s’adresse à :
La directive NIS 2 peut vous impacter, directement ou indirectement, selon ces critères :
DIRECTEMENT : vous êtes une entreprise qui a un effectif de plus de 50 salariés, un chiffre d’affaires annuel de plus de 50 millions d’euros et/ou un bilan annuel supérieur à 43 millions d’euros et vous opérez dans l’un des secteurs suivants :
- Opérateurs de services essentiels (OSE) : énergie (électricité, gaz, pétrole) ; transport (aérien, ferroviaire, maritime, routier) ; bancaire et infrastructures de marché financier ; santé (hôpitaux, laboratoires, établissements pharmaceutiques) ; fourniture et distribution d’eau potable.
- Fournisseurs de services numériques (FSN) : moteurs de recherche ; services cloud ; places de marché en ligne.
- Nouveaux secteurs et services : fournisseurs de services de communication électronique ; fournisseurs de services de confiance ; gestion des déchets, administration publique, et espaces numériques critiques.
INDIRECTEMENT : si vous êtes sous-traitant d’une entreprise directement régulée par la directive NIS 2, alors cette dernière peut aussi vous imposer de vous mettre aux normes.
Afin d’assurer un traitement équitable, la directive NIS 2 distingue deux catégories d’entités régulées :
EE
entités essentielles
EI
entités importantes
Cette catégorisation se base sur le degré de criticité, la taille et le chiffre d’affaires des entreprises. La réglementation de la directive NIS 2 s’appuiera sur ces deux types d’entités pour définir des objectifs adaptés aux enjeux de chaque catégorie.
Pour déterminer si votre entreprise est régulée par cette directive, effectuez le test en ligne, sous réserve de l’adoption définitive de NIS 2 en France.
MonEspaceNIS2 – Suis-je concerné ? – Pour bien débuter (cyber.gouv.fr)
comment se préparer à la directive ?
Pour se préparer au mieux à NIS 2, vous pouvez suivre plusieurs étapes :
- Évaluer si la directive NIS 2 s’appliquera à votre cas
- Identifier les manquements par rapport aux exigences de la directive
- Déterminer les mesures à prendre pour respecter ces exigences
- Mettre en place un cadre de cybersécurité solide et fiable
Les exigences diffèreront en fonction de la classification des entreprises (Entité Essentielle ou Entité Importante).
les exigences de la directive
Il y a 4 grandes exigences auxquelles les entreprises concernées devront répondre, par rapport à cette directive :
Gouvernance d’entreprise
La directive NIS 2 met l’accent sur l’implication de la gouvernance en matière de cybersécurité. Elle impose une responsabilité des organes de direction pour la validation et la supervision des risques de cybersécurité.
Les membres de la direction doivent également suivre des formations régulières pour évaluer les risques associés, dans le but d’assurer un pilotage efficient de la cybersécurité.
Gestion des risques
L’une des exigences majeures est la mise en place de mesures techniques de cybersécurité proportionnelles aux risques identifiés.
Cela couvre de nombreux aspects comme : l’analyse des risques, la continuité d’activité, la gestion des sauvegardes, la sécurité systèmes et réseaux, la formation etc.
Signalement des incidents
En cas d’incident significatif, la directive NIS 2 impose des obligations de reporting aux autorités compétentes.
Une alerte dans les 24 heures, puis une notification détaillée sous 72 heures avec une évaluation d’impact doivent être mises en places. D’autres rapports complémentaires sont à également à fournir par la suite.
Sécurité des chaînes d’approvisionnement
La sécurité des chaînes d’approvisionnement est mise en avant, notamment avec les fournisseurs.
Les entités essentielles et importantes devront évaluer les vulnérabilités, les pratiques de cybersécurité et la qualité des produits/services de leurs partenaires. Une gestion rigoureuse des risques de la chaîne d’approvisionnement informatique sera alors indispensable.
La directive NIS 2 marque un tournant majeur pour la cybersécurité en Europe. En élargissant son champ d’application et en renforçant les obligations des entreprises, elle impose une vigilance accrue et une gouvernance proactive. NIS 2 est donc une opportunité de structurer durablement sa stratégie numérique.
Retrouvez nos solutions de cybersécurité sur notre site web et découvrez les services que nous pouvons vous apporter autour !