Directive NIS 2 : objectifs, périmètre, conformité. Le tour d'horizon complet
Adoptée fin 2022 par la Commission européenne, la directive NIS vise à renforcer la résilience des infrastructures critiques, la sécurité des données et mieux protéger les citoyens et les entreprises de l’Union Européenne contre les menaces des environnements informatiques et numériques.
Mais que signifie concrètement cette directive ? Qui est concerné ? Et quelles sont les échéances de sa mise en œuvre ?
Tour d’horizon complet de la directive NIS 2 : ses objectifs, les secteurs visés, et ce que les entreprises doivent savoir pour se conformer à cette nouvelle législation
Retrouvez également le contenu de cet article et bien plus encore, notamment le périmètre des organismes publics concernés comme l'ANSSI, dans notre ebook gratuit !
La directive NIS 2, c'est quoi ?
Évolution majeure de la direction NIS
La directive NIS 2, ou “Directive sur la Sécurité des Réseaux et des Systèmes d’Information”, est une mise à jour de la directive NIS déjà adoptée en 2016. Cette dernière était la première législation à l’échelle de l’Union Européenne visant à renforcer la cybersécurité des États membres.
La réaction face aux menaces les plus sophistiquées
Mais face aux évolutions constantes des menaces, NIS 2 va plus loin en introduisant des mesures plus strictes et un champ d’application plus large. En somme, ses recommandations concernent davantage d’entreprises et organisations sur un périmètre complet. L’objectif est de rendre l’Europe plus résistante aux cyberattaques en imposant des normes de cybersécurité communes et des obligations plus claires.
Quels sont les objectifs de la Directive NIS 2
La directive NIS 2 est le résultat d’une coopération internationale des États Membres de l’UR qui vise à mieux protéger en identifiant les secteurs les plus à risque. À titre, elle repose sur plusieurs objectifs clés :
Renforcer la résilience des infrastructures critiques
C’est à dire protéger les secteurs clés qui sont essentiels au fonctionnement de la société et de l’économie. Sont identifiés comme essentiels les secteurs tels que l’énergie, les transports, la santé et les infrastructures numériques.
Harmoniser la cybersécurité en Europe
Les attaques informatiques n’ayant pas de frontière, la directive cherche à uniformiser les pratiques de sécurité dans tous les États membres de l’UE et renforcer la coopération entre États membres. Chaque pays doit respecter les mêmes règles et obligations pour réduire les disparités.
Améliorer la gestion des incidents
Les entreprises sont désormais tenue de signaler rapidement les incidents et attaques subies. Grâce à la coopération accrue entre des États membres et le partage des connaissances, des solutions seront plus rapidement trouvées et déployées.
Définir un cadre disciplinaire stricte
Au même titre que sur d’autres aspects sécuritaires, les entreprises doivent respecter les règles de protection cyber Celles qui ne respectent pas les obligations de cybersécurité s’exposent à des sanctions plus sévères. Cela inclut des amendes importantes pour les défaillances de sécurité.
Qui est concerné par la Directive NIS 2 ?
L’une des grandes nouveautés de la directive NIS 2 est l’extension de son champ d’application. NIS 1 concernait surtout les opérateurs de services essentiels (OSE), mais NIS 2 englobe un plus large éventail d’acteurs. Deux nouvelles catégories d’entités sont visées. Chaque entité, selon son secteur, ses activités et son envergure est concernée par des normes spécifiques :
Les Entités Essentielles
Ces entités couvrent des secteurs vitaux pour l’économie et la société, notamment :
- Énergie (électricité, pétrole, gaz)
- Transport (aérien, maritime, ferroviaire)
- Banques
- Santé (hôpitaux, cliniques)
- Eau potable
- Infrastructures numériques (services de cloud, datacenters, réseaux de communication)
Les Entités Importantes
Bien que ces secteurs soient moins critiques, ils jouent un rôle clé dans l’économie européenne. Ils incluent :
- Services postaux et de livraison
- Fournisseurs de services numériques (comme les plateformes de commerce électronique)
- Fournisseurs de gestion des déchets
- Fabrication de produits médicaux et pharmaceutiques
- Fournisseurs d’infrastructures de production de biens numériques
Retrouvez plus d'informations dans notre ebook gratuit
Les obligations des entreprises concernées par la directive NIS 2
Les entreprises et organisations visées par NIS 2 sont dans l’obligation de mettre en place un ensemble de mesures pour assurer la sécurité de leurs réseaux et systèmes d’information. Toutes doivent être à un niveau de protection indispensable.
Les principales obligations sont :
Gouvernance de la cybersécurité
Les dirigeants d’entreprise devront désormais avoir un rôle actif dans la mise en place des stratégies de cybersécurité. Ils seront directement responsables de la conformité de leur entreprise avec la directive.
Analyse et gestion des risques
Les entités devront réaliser régulièrement des évaluations des risques cyber et mettre en place des mesures de gestion adaptées. Cela inclut la mise en place de contrôles de sécurité pour prévenir, détecter et atténuer les cybermenaces.
Signalement des incidents
NIS 2 impose un délai strict pour le signalement des incidents de cybersécurité majeurs. Les organisations doivent notifier les autorités compétentes (CSIRT et ANSSI) dans les 24 heures suivant la détection d’un incident. Ensuite, elles devront fournir un rapport complet sous 72 heures.
Coopération européenne
La directive encourage une coopération plus étroite entre les États membres et les organisations. Cela inclut des échanges d’informations sur les menaces et les bonnes pratiques.
Vous êtes concernés par la directive ? Comment vous préparer à NIS 2 ?
Se préparer à NIS 2 peut sembler complexe, mais plusieurs étapes peuvent aider les entreprises à anticiper les nouvelles exigences :
Réaliser un audit de cybersécurité : Évaluer la situation actuelle de l’entreprise en matière de sécurité. Identifier les vulnérabilités et les risques pour les systèmes d’information.
Mettre à jour les politiques de cybersécurité : Les entreprises doivent revoir leurs politiques internes pour s’assurer qu’elles répondent aux exigences de la directive NIS 2, notamment en matière de gouvernance, de gestion des risques et de réponse aux incidents.
Former les équipes : La cybersécurité est l’affaire de tous. Il est essentiel de former les employés aux bonnes pratiques et de sensibiliser les dirigeants aux risques et aux obligations légales.
Collaborer avec des experts : La mise en conformité avec la directive peut nécessiter l’aide d’experts en cybersécurité pour mettre en place des solutions adaptées.
Les sanctions en cas de non-conformité
La directive NIS 2 introduit des sanctions financières plus sévères que celles prévues par la directive NIS 1. Les entreprises qui ne respectent pas les nouvelles règles s’exposent à des amendes pouvant atteindre 2 % du chiffre d’affaires annuel mondial ou jusqu’à 10 millions d’euros.
Les sanctions sont conçues pour inciter les entreprises à prendre la cybersécurité au sérieux et à éviter les erreurs qui pourraient compromettre les infrastructures critiques.
Dates de mise en oeuvre de NIS 2
La directive NIS 2 a été officiellement adoptée par le Parlement européen et le Conseil en décembre 2022. Les États membres de l’UE ont jusqu’à octobre 2024 pour transposer cette directive dans leur législation nationale. En France, les premières mesures devraient donc être inscrites dans le droit d’ici fin 2024. Cela signifie que les entreprises concernées auront jusqu’à cette date pour se conformer aux nouvelles obligations.
Il est crucial de noter que les autorités nationales de chaque pays auront le pouvoir de contrôler et de sanctionner les entreprises qui ne respectent pas la directive. Les entreprises doivent donc dès maintenant commencer à se préparer pour éviter des sanctions coûteuses.