La directive NIS 2

Alors que la menace cyber augmente et que les systèmes d’information restent pour partie vulnérables, la directive NIS 2 (Network and Information Security), publiée au Journal Officiel de l’Union européenne en décembre 2022, représente une opportunité unique. Sa mise en application va permettre à des milliers d’entités qui concernent le quotidien des citoyens de mieux se protéger.

Qu’est-ce que la directive NIS2 ?

La directive NIS2, également connue sous le nom de directive sur la sécurité des réseaux et de l’information, est un texte législatif important visant à améliorer la cybersécurité et à protéger les infrastructures critiques dans l’Union européenne (UE).

Elle s’appuie sur la précédente directive NIS, en corrigeant ses lacunes et en élargissant son champ d’application pour améliorer les exigences en matière de sécurité, les obligations de déclaration et les capacités de gestion de crise. La conformité à la directive NIS2 est cruciale pour les entreprises opérant dans l’UE afin de protéger leurs systèmes, d’atténuer les cybermenaces et d’assurer leur résilience.

Les objectifs de NIS2 sont de renforcer la cybersécurité, de simplifier les rapports et de créer des règles et des sanctions cohérentes dans l’ensemble de l’UE. En élargissant son champ d’application, le NIS2 exige que davantage d’entreprises et de secteurs prennent des mesures de cybersécurité, dans le but ultime d’améliorer la cybersécurité de l’Europe à long terme. Avec des règles plus strictes pour surmonter les limitations précédentes, NIS2 a un impact sur un plus large éventail d’industries. Les entités relevant de la norme NIS2 sont classées comme essentielles ou importantes, et la directive décrit les exigences en matière de sécurité ainsi qu’un processus de signalement des incidents.

Votre entreprise est-elle concernée par la directive NIS2 ?

Pour faire simple, votre entreprise devra se mettre en conformité avec la directive NIS2 si elle remplit ne serait-ce qu’un seul des critères mentionnés en annexe 1 et 2 de la réglementation.

Concrètement, vous êtes concernés par NIS2 si :

• vous exercez votre activité ou proposez vos services dans deux États membres (ou plus) de l’Union européenne,
• votre organisation emploie 50 personnes ou plus,
• votre chiffre d’affaires annuel est supérieur à 10 millions d’euros,
• votre entreprise est considérée comme une entité critique selon la définition de la directive 2022/2557 sur la résilience des entités critiques,
• vous travaillez dans l’un des 18 secteurs d’activité suivants :
  • énergie
  • transports
  • secteur bancaire
  • infrastructures des marchés financiers
  • santé
  • fourniture / distribution d’eau potable
  • gestion des eaux usées
  • infrastructures numériques
  • gestion de services TIC
  • administration publique
  • secteur spatial
  • services postaux et d’expédition
  • gestion des déchets
  • fabrication / production / distribution de produits chimiques
  • alimentation
  • fabrication
• vous êtes un sous-traitant, fournisseur, prestataire de service pour l’infrastructure d’une entreprise soumise à la directive NIS2.

Le périmètre des organisations concernées par cette nouvelle réglementation est donc très vaste. Plus de 600 types d’entités, aussi bien privées que publiques, sont ainsi soumises à NIS2 : administrations, grands groupes, ETI, PME, TPE… La probabilité que votre entreprise en fasse partie est très élevée !

Chronologie de la directive NIS2 :