La Directive NIS 2 élargit considérablement le champ d'application de la Directive NIS de 2016 transposée en France en 2018. Elle s'adresse à un éventail plus large d'industries pour étendre et renforcer les exigences en matière de cybersécurité dans l’UE
Ceci inclut la maîtrise des risques liés au tiers, la rationalisation des obligations de signalement et l'introduction d’exigences strictes en matière de mise en application. En d'autres termes, la directive NIS 2 impose à un grand nombre d'organisations de mettre en place un cadre complet de gestion des risques, dans le but d'accroître le niveau global de résilience en matière de cybersécurité au sein de l'UE.
La directive NIS2 devra être transposée par chaque état membre de l’UE en droit national, au plus tard en octobre 2024. L'ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information), l'autorité nationale en matière de cybersécurité et de cyberdéfense, assurera ensuite en tant que régulateur le respect de la loi nationale, en ayant recours, si nécessaire, à des sanctions administratives sévères et à des mesures correctives.
Playback of this video is not currently available
La Directive NIS 2 apporte en premier lieu une modification significative à son champ d'application, le rendant nettement plus étendu que celui de son prédécesseur.
Désormais, la directive englobe un spectre élargi touchant près de 600 types d'entités différentes, regroupant plus de 10000 entités allant des Entreprises de Taille Intermédiaire (ETI) aux groupes du CAC40, réparties au sein de 18 secteurs d'activité distincts.
Ces secteurs, définis dans la directive, sont stratifiés en deux catégories principales : les secteurs hautement critiques et les secteurs critiques (pour plus de détails, veuillez consulter l'encadré).
En fonction de ces secteurs, les entités seront désormais considérées en tant que entités importantes (EI) ou entités essentielles (EE). Cette distinction marque une évolution par rapport à la directive NIS originale, qui s'appliquait aux "Opérateurs de Services Essentiels" (OSE) et aux "Fournisseurs de Services Numériques" (FSN).
Vous pouvez également déterminer si votre entité est assujettie à la directive NIS 2 et à quelle catégorie elle appartient sur le site de l'ANSSI.
Lorsque des lois sectorielles particulières, telles que le Digital Operational Resilience Act (DORA), exigent que les entités essentielles ou importantes sous le coup de la Directive NIS 2 mettent en place des mesures de gestion des risques en cybersécurité ou signalent des incidents majeurs, la Directive NIS 2 ne s'appliquera pas à ces entités si les exigences sectorielles sont au moins aussi contraignantes que celles énoncées dans la Directive NIS 2.
Toutefois, si les lois sectorielles ne couvrent pas l'ensemble des entités d'un secteur spécifique qui relèvent du champ d'application de la Directive NIS 2, les dispositions pertinentes de la NIS 2 continueront à s'appliquer aux entités non visées par la législation sectorielle.
Bien que le processus de transposition nationale soit encore en cours d’élaboration, la Directive NIS 2 met déjà clairement en avant trois piliers majeurs dans lesquels les organisations devront intensifier leurs efforts pour garantir leur conformité.
Forts de notre expérience aux côtés d'organisations dans toute l'Union européenne, nous vous recommandons les étapes suivantes :
Évaluer si la directive NIS2 s'appliquera à votre cas.
Identifier les manquements par rapport aux exigences de la directive.
Déterminer les mesures à prendre pour respecter les obligations de gestion.
Définir un cadre de cybersécurité solide, englobant des mesures à la fois organisationnelles et techniques.
Mettre en place ces mesures à la fois du point de vue organisationnel et technique au sein de votre organisation.
Concevoir et implémenter des mécanismes de surveillance pour vérifier l'efficacité de ces mesures en continu.
La directive (UE) 2022/2555, connue sous le nom de Directive NIS 2, vise à renforcer la cybersécurité dans l'Union Européenne. En tant qu'acteur du secteur, votre organisation doit se conformer à ces nouvelles exigences. Ce livre blanc vous aidera à comprendre les enjeux et défis de la directive NIS 2, son champ d'application, le régime de sanctions et son impact sur les différents sous-secteurs. Ne manquez pas ce guide essentiel pour vous conformer à cette réglementation.
Télécharger le livre blanc