NIS 2 quels impacts ?

Recommandations

Vérifier si vous êtes concernés par NIS 2 et anticiper l’application le cas échéant.

Accéder à notre sensibilisation sur le référentiel NIS 2 à destination des décideurs et RSSI.

L’extension de sa portée à une plus grande variété de secteurs et d’organisations

La version 2 de la directive va avoir des changements importants en France et en Europe.

Tout d’abord, c’est une extension importante du champ d’application :

  • Concerne les entités privées
  • Peut concerner les PME/TPE directement pour des secteurs spécifiques ou des activités sensibles
  • Concerne les PME indirectement par ricochet d’exigences pour les services numériques

La directive distingue deux niveaux :

  • Les entreprises essentielles (secteurs critiques : Energie / Transport / Logistique / Banque / Infra financières / Assurance / Santé / Numérique / Education)
  • Les entreprises importantes

Quels exemples

• Intégration de la sécurité à travers les chaine d’approvisionnement

• Des obligations en matière de rapport renforcées

• Mise en place de procédures de contrôle

• Appication de critères d’exécution plus strictes

• Responsabilité importante pour les structures de direction

• Renforcement des sanctions

Résumé des évolutions

  • 💡 Les députés européens ont voté en faveur de la directive NIS 2, visant à harmoniser et renforcer la cybersécurité sur le marché européen.
  • 💡 La directive NIS 2 élargit ses objectifs et son champ d’application afin d’offrir une meilleure protection contre les acteurs malveillants de plus en plus performants.
  • 💡 La directive NIS 2 représente une opportunité pour améliorer la cybersécurité, mobiliser l’économie nationale et le secteur public.
  • 💡 La directive NIS 2 entrera en vigueur en France au plus tard au deuxième semestre 2024, avec des exigences directes et d’autres nécessitant une mise en conformité dans un délai spécifié.
  • 💡 NIS 2 s’appliquera à des milliers d’entités dans dix-huit secteurs réglementés, y compris les administrations de toutes tailles et les entreprises, des PME aux grandes entreprises.

Les enjeux

Mi 2024, beaucoup d’entreprises et d’organisations gouvernementales devront se conformer à la nouvelle version de la directive NIS sur la sécurité des systèmes informatiques, appelée “directive NIS2”.

Cette directive, avec sa version nationale, donne les règles sur comment améliorer leur sécurité informatique. C’est important parce que les attaques informatiques augmentent, visant tout, des petites aux grandes entreprises.

L’ANSSI, qui est l’autorité française en matière de sécurité informatique, est chargée de mettre en œuvre cette règle.

La règle NIS2 pourrait grandement impacter la sécurité informatique de beaucoup d’organisations en France avec plusieurs enjeux importants :

  • Si vous êtes une PME, vous pourrez être concerné en tant que sous-traitant ,
  • Beaucoup d’organisations qui n’ont jamais eu à se préoccuper de la sécurité informatique, et qui ne connaissent pas la règle NIS2, devront être informées et encouragées à se déclarer à l’ANSSI ;
  • Ces organisations ont différents niveaux de connaissance en matière de sécurité informatique.
  • Celles qui en savent le moins devront être aidées à comprendre progressivement les exigences de sécurité de la règle pour qu’elle puisse vraiment améliorer leur sécurité informatique
  • Obligations de signalement des incidents :les incidents « importants » doivent être signalés dans les 24 heures. 

Avant NIS 2, NIS 1 ?

  • 💡 La directive NIS 1, adoptée en 2016, avait pour objectif d’augmenter la cybersécurité dans dix grands secteurs, exigeant des entités de déclarer les incidents de sécurité et de mettre en place les mesures nécessaires.

Concrètement pour les PME ?

  • 💡 Les acteurs de la chaîne d’approvisionnement, les acteurs du numérique, les administrations centrales et certaines collectivités territoriales sont concernés par NIS 2.
  • 💡 NIS 2 introduit un mécanisme de proportionnalité distinguant les entités essentielles et importantes, avec des obligations réglementaires variables en fonction de leur niveau de criticité.
  • 💡 NIS 2 renforce le régime de sanctions, applicable à toutes les entités régulées, pouvant impliquer un pourcentage du chiffre d’affaires mondial de l’entité en cas d’infractions.
  • 💡 Les entités concernées par NIS 2 doivent se préparer en amont, et les entités déjà désignées sous NIS 1 doivent continuer à mettre en œuvre ses exigences jusqu’à la transition vers NIS 2.

Le rôle de l’ANSSI

  • 💡L’ANSSI (Agence nationale de la sécurité des systèmes d’information) continuera de fournir du soutien et de l’assistance aux organisations, en mettant l’accent sur l’amélioration du niveau global de cybersécurité et la promotion de la coopération.
  • 💡 L’ANSSI s’engage dans un dialogue avec les parties prenantes et les associations pour assurer la pertinence et la durabilité des exigences réglementaires, et elle fournira des orientations, des campagnes de sensibilisation et de nouveaux outils dans le cadre de la mise en œuvre de NIS 2.
  • 💡 L’ANSSI communiquera tout au long de la transposition nationale de NIS 2, invitant les entités à des événements dédiés au cours du premier semestre 2023.

Références

La directive

Document Briefing du Parlement Européen

Autres règlementations

DORA

risk-preparedness in the electricity sector and repealing Directive 

résilience opérationnelle numérique du secteur financier (DORA)

https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32022L2555

Thomas De Mota
Thomas De Mota
Thomas De Mota, CEO de Feel Agile, avec plus de 15 ans d'expérience dans le domaine de la cybersécurité.

Notre Newsletter

Adhérez au Club Cyber et recevez l'actualité directement dans votre boite mail ! Profitez également de nos offres exclusives d'e-learning et de nos webinaires privés !

spot_img

Dans la même catégorie