Menu

NIS2 : le nouveau visage de la cybersécurité

Les réglementations NIS2, adoptées en janvier 2023, imposera à de nombreuses organisations la nécessité d’améliorer leurs mesures de sécurité pour lutter contre les nouvelles formes de cyberattaque. Ambitieuse et visionnaire, NIS 2 a pour objectif d’établir un niveau de maturité cyber uniforme dans toute l’Union européenne. Les 27 pays membres auront l’obligation d’incorporer ces mesures dans leurs législations nationales d’ici le 17 octobre 2024. 

Concrètement, la directive NIS 2 continuera de s’appliquer aux domaines déjà touchés par la NIS 1 (comme les établissements de santé, les banques et les transports), tout en s’étendant à de nouveaux secteurs d’activité tels que les administrations publiques, les télécommunications, les plateformes de réseaux sociaux, les services postaux, et même le secteur spatial. 

Un autre changement majeur réside dans son extension aux entreprises privées. Ainsi, plusieurs milliers d’entreprises, allant des PME aux grandes entreprises du CAC40, devront se conformer aux directives de cette nouvelle régulation. 

Enfin, la directive NIS2 apporte une troisième innovation significative : l’intégration d’un mécanisme de proportionnalité, qui différencie deux catégories d’acteurs réglementés en fonction de leur niveau de criticité : les entités essentielles et les entités importantes. L’Agence nationale de la sécurité des systèmes d’information (ANSSI) s’appuiera sur cette notion pour établir des exigences spécifiques adaptées à chaque catégorie d’entités. 

Alors que la menace reste complexe et en constante évolution et que les systèmes d’information restent pour partie vulnérables, la mise en œuvre de la directive NIS 2 se présente comme une opportunité sans équivalent. Elle vise à améliorer leur niveau de protection de milliers d’organisations. Cette initiative offre également la possibilité de mobiliser largement l’économie nationale ainsi que le secteur public.

De plus, elle incite les États membres à intensifier leur coopération en matière de gestion de crise cyber, en établissant notamment un cadre officiel pour le réseau CyCLONe, qui réunit l’ANSSI et ses homologues européens. 

La directive NIS2 s’adresse aux entreprises de plus de 50 salariés réalisant plus de 10 millions d’euros de chiffre d’affaires dans les secteurs concernés. Ces entreprises englobent diverses tailles, allant des PME aux grandes entreprises, et dans certains cas, des collectivités territoriales. 

Les 19 secteurs couverts par la NIS1 englobaient : la santé, l’énergie, les transports, le secteur bancaire, les infrastructures des marchés financiers, l’approvisionnement en eau potable, les eaux usées, les infrastructures numériques, les fournisseurs de services numériques, les administrations publiques et le secteur aérospatial. 

A ceux là, NIS2 étend son champ aux secteurs suivants : les services postaux et d’expédition, la gestion des déchets, la fabrication, la production et la distribution de produits chimiques, l’industrie, l’agroalimentaire et les fournisseurs de services numériques. 

Les entreprises classées comme essentielles ou importantes font partie des 35 secteurs visés et ont la responsabilité d’une infrastructure dont l’arrêt aurait des conséquences significatives sur l’économie et le fonctionnement du pays. En règle générale, les ETI et les grandes entreprises inscrites sur la liste des opérateurs de services essentiels (OSE) seront classées en tant qu’entités essentielles. 

Les entreprises concernées seront identifiées dès la publication du décret de transposition de cette directive au niveau national, au plus tard le 17 octobre 2024. Les critères de sélection incluent un effectif d’au moins 50 employés et un chiffre d’affaires supérieur à 1 million d’euros.

Adoptée par le Parlement européen le 10 novembre 2022 et officiellement diffusée dans le Journal officiel de l’Union européenne le 27 décembre 2022. En accord avec le RGPD, cette directive donne aux États membres une période de 21 mois pour incorporer ces réglementations dans leurs législations nationales, avec une échéance fixée au 17 octobre 2024.