DIRECTIVE NIS2

La directive NIS2 (Network and Information Security 2) est une évolution majeure de la directive NIS.

Définition NIS2

La directive NIS2 (Network and Information Security 2), adoptée par l’Union européenne en décembre 2022, est une évolution majeure de la directive NIS (2016). Elle vise à renforcer la résilience des infrastructures critiques face aux menaces numériques croissantes et à harmoniser les pratiques de cybersécurité au sein des États membres.

La NIS2 élargit le champ d’application de la directive initiale en incluant un plus grand nombre de secteurs critiques et même certains fournisseurs de services numériques. Elle impose des exigences de sécurité plus strictes et uniformes, tout en prévoyant des mécanismes de coopération renforcés entre les États membres.

Qui est concerné par la directive NIS2 ? Zoom sur les entités et les secteurs

Plus de 10 000 entités concernées sur 18 secteurs d’activité. La directive NIS2 élargit son champ d’application par rapport à la première directive NIS et concerne désormais un grand nombre de secteurs, entreprises et services, divisés en deux grandes catégories : les entités essentielles (EE) et les entités importantes (EI).

Les entités essentielles concernées

Ces entités fournissent des services critiques à la société. Elles ont des exigences de sécurité et de résilience plus élevées et sont prioritaires pour la conformité à la NIS2. Voici les secteurs concernés :

  • Énergie : Centrales de production d’électricité, réseaux de distribution d’énergie, pétrole, gaz et autres services énergétiques stratégique

  • Transports : Infrastructures et services de transport aérien, ferroviaire, maritime, routier, et des transports publics.

  • Banque : Les banques, notamment celles fournissant des services bancaires de détail et d’investissement.

  • Infrastructure des marchés financiers : Bourses, infrastructures de paiement, de règlement et de compensation.

  • Santé : Hôpitaux, cliniques, laboratoires, établissements de soins de longue durée et services de santé en ligne.

  • Eau potable et assainissement : Réseaux de distribution d’eau potable, usines de traitement des eaux.

  • Infrastructures numériques : Fournisseurs de réseaux et de services de communications électroniques, services de cloud computing, centres de données.

  • Administration publique : Ministères, agences gouvernementales, services publics nationaux et régionaux.

  • L’espace : Satellites, lanceurs, centres de contrôle et infrastructures spatiales stratégiques,…

Les entités importantes concernées

Les entités importantes sont également cruciales mais ne relèvent pas directement des infrastructures dites critiques. Elles incluent les facteurs suivants :

  • Fournisseurs de services numériques : Services de plateformes en ligne, de commerce électronique, de réseaux sociaux, services numériques essentiels (hébergement web, gestion de contenu).

  • Poste et messagerie : Entreprises de logistique et de livraison de colis.

  • Industries alimentaires : Fabrication et distribution de produits alimentaires et boissons, y compris les chaînes d’approvisionnement.

  • Industries chimiques : Production, transformation et stockage de produits chimiques.

  • Gestion des déchets : Entreprises assurant le traitement et l’élimination des déchets.

  • Gestion des déchets : Entreprises assurant le traitement et l’élimination des déchets.

  • Recherche et développement : Entités impliquées dans la recherche scientifique et technologique liée à la cybersécurité et à d’autres domaines critiques.

  • Fabrication industrie : Sites de production, usines, et chaînes d’approvisionnement stratégiques, …

Les autres entités potentiellement concernées

En fonction des risques qu’elles représentent pour la sécurité nationale, les États membres peuvent désigner d’autres secteurs ou entreprises. Cela peut inclure des sous-traitants, fournisseurs ou partenaires commerciaux critiques pour les secteurs listés.

Les critères de sélection des entités

Les entreprises sont sélectionnées en fonction de divers critères, notamment :

  • Taille de l’entreprise : Généralement, les entreprises de plus de 50 employés ou ayant un chiffre d’affaires supérieur à 10 millions d’euros sont ciblées, bien que certains secteurs puissent inclure des petites entreprises à forte criticité.
  • Impact potentiel : Toute entité dont une défaillance pourrait avoir des effets significatifs sur la sécurité nationale, la sécurité publique, la santé des citoyens ou l’économie.
  • Interconnexion avec d’autres secteurs critiques : Les entreprises jouant un rôle important dans les chaînes d’approvisionnement ou ayant des interconnexions critiques avec d’autres infrastructures essentielles.
TAILLE ENTITÉ NOMBRE D’EMPLOYÉS  CHIFFRE D’AFFAIRES (MILLIONS D’EUROS) BILAN ANNUEL (MILLIONS D’EUROS) SECTEURS HAUTEMENT CRITIQUES AUTRES SECTEURS CRITIQUES
Intermédiaire et grande X ≥ 250 Y ≥ 50 Z ≥ 43 Entités essentielles Entités importantes
Moyenne 50 ≤ X < 250 10 ≤ Y < 50 10 ≤ Z < 43 Entités importantes Entités importantes
Micro et petite X < 50 Y < 10 Z< 10 Non concernées Non concernées

Schématisation simplifiée de la règle de base (en attente de la transposition française pour en savoir plus)

NIS2 France : les dates de clés et entrée en vigueur

Voici les étapes clés de son élaboration et de sa transposition en France :

16 décembre 2020 : La Commission européenne propose une révision de la directive NIS initiale, marquant le début des discussions sur NIS2.

13 mai 2021 : Le Conseil de l’Union européenne adopte une orientation générale sur la proposition de directive NIS2, établissant une position commune pour les négociations avec le Parlement européen.

10 novembre 2022 : Le Parlement européen adopte la directive NIS2, après des négociations avec le Conseil.

27 décembre 2022 : Publication officielle de la directive NIS2 au Journal Officiel de l’Union européenne.

16 janvier 2023 : Entrée en vigueur de la directive NIS2, donnant aux États membres 21 mois pour la transposer dans leur législation nationale.

15 octobre 2024 : Présentation en Conseil des ministres du projet de loi visant à transposer la directive NIS2 en droit français.

17 octobre 2024 : Date limite fixée par l’Union européenne pour la transposition de la directive NIS2 par les États membres.

18 octobre 2024 : Entrée en vigueur de la directive NIS2 au niveau européen.

Début 2025 : Prévision d’adoption du projet de loi par le Parlement français, officialisant la transposition de la directive NIS2 en droit national.

2025-2027 : Période durant laquelle les entités concernées devront se conformer aux nouvelles obligations imposées par la directive NIS2, avec un délai de tolérance de trois ans accordé par l’ANSSI pour atteindre une conformité complète.

Il est essentiel pour les entreprises et administrations françaises de se préparer dès maintenant aux exigences de la directive NIS2 afin d’assurer une transition fluide et une conformité optimale dans les délais impartis.

Quelles sont les 3 obligations de NIS2 ?

La directive NIS 2 impose aux entités concernées plusieurs obligations essentielles pour renforcer la cybersécurité au sein de l’Union européenne. Ces obligations se répartissent principalement en trois volets : le partage d’informations, la gestion des risques cyber et la déclaration d’incidents.

  1. Partage d’informations

Les entités doivent communiquer certaines informations à l’autorité nationale compétente, en l’occurrence l’Agence nationale de la sécurité des systèmes d’information (ANSSI) en France. Cette communication inclut l’enregistrement de l’entité auprès de l’ANSSI via le portail MonEspaceNIS2, la notification des incidents cyber et le partage d’informations sur les investissements effectués en matière de cybersécurité.

  1. Gestion des risques cyber

Les entités sont tenues de mettre en place des mesures juridiques, techniques et organisationnelles adaptées pour gérer les risques menaçant la sécurité de leurs réseaux et systèmes d’information. Ces mesures couvrent divers aspects, notamment :

  • Analyse des risques : identification et évaluation régulières des menaces potentielles.
  • Politiques de sécurité : élaboration de directives internes pour assurer la protection des systèmes.
  • Continuité des activités : mise en place de plans pour maintenir les opérations en cas d’incident.
  • Gestion des incidents : procédures pour détecter, signaler et répondre aux incidents de sécurité.
  • Sécurité des chaînes d’approvisionnement : évaluation et gestion des risques liés aux fournisseurs et partenaires.
  • Formation et sensibilisation : programmes pour éduquer le personnel aux bonnes pratiques de cybersécurité.

Ces exigences visent à standardiser et à renforcer la résilience face aux cybermenaces croissantes.

  1. Déclaration d’incidents

Les entités doivent signaler à l’autorité nationale compétente les incidents de sécurité ayant un impact significatif. La directive NIS 2 impose un délai de 24 heures pour notifier un incident important après en avoir pris connaissance. Cette obligation vise à assurer une réaction rapide et coordonnée face aux cybermenaces.

En outre, la directive NIS 2 introduit des sanctions en cas de non-conformité, pouvant atteindre jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires mondial pour les entités essentielles, et 7 millions d’euros ou 1,4 % du chiffre d’affaires mondial pour les entités importantes.

Il est donc crucial pour les entités concernées de se préparer dès maintenant à ces nouvelles obligations afin d’assurer leur conformité et renforcer leur résilience face aux cybermenaces.

Les sanctions

Conformément à la directive NIS 2, des actions de supervision seront assurées pour vérifier le respect par les entités de leurs obligations. En cas de non-respect de ces dernières, les entités s’exposeront à des sanctions.

La directive prévoit la capacité d’imposer, entre autres, des sanctions financières aux entités régulées. Ces sanctions, qui doivent être proportionnées au(x) manquement(s), pourront aller jusqu’à un pourcentage du chiffre d’affaires mondial des entités (2 % pour les entités essentielles (EE) et 1,4 % pour les entités importantes (EI)). En plus des amendes financières, des mesures correctives ou des injonctions de mise en conformité pourront être imposées par l’autorité nationale compétente.

En cas de récidive ou de manquement grave aux obligations de cybersécurité, les autorités pourront également appliquer des sanctions plus sévères, comme la suspension temporaire des services concernés ou, dans certains cas, le retrait des dirigeants responsables de la gestion de la cybersécurité.

Ces sanctions visent à inciter les entités à prendre leurs obligations de cybersécurité au sérieux et à renforcer la sécurité des réseaux et systèmes d’information dans toute l’Union européenne.

Conformez-vous à la Directive NIS2 dès maintenant

La mise en conformité avec la Directive NIS2 est un investissement pour l’avenir. En agissant dès aujourd’hui, vous vous positionnez non seulement en acteur responsable de la cybersécurité, mais vous minimisez aussi les risques pour votre entreprise. N’attendez pas : préparez-vous à la Directive NIS2 dès maintenant.

Directive NIS 2 : Le rôle clé de l’ANSSI en France

L’ANSSI (Agence nationale de la sécurité des systèmes d’information) joue un rôle clé dans la mise en œuvre de la directive NIS 2 en France. En tant qu’autorité compétente, elle accompagne les opérateurs essentiels et les entreprises concernées pour se conformer aux exigences réglementaires, notamment en matière de gestion des risques, de notification des incidents et de résilience des systèmes. Elle fournit également des recommandations et un cadre méthodologique pour renforcer la sécurité de manière continue. En facilitant le partage d’informations critiques sur les menaces et incidents entre les acteurs concernés, l’ANSSI encourage une approche collaborative face aux cybermenaces. Par son expertise et son rôle de régulateur, elle contribue à élever le niveau global de cybersécurité tout en assurant le respect des objectifs fixés par la directive.

Comment ITrust peut vous accompagner ?

La directive NIS2 impose donc aux entités un ensemble de mesures pour renforcer la cybersécurité et la résilience de leurs infrastructures. Les solutions d’ITrust alignées avec les exigences de la directive NIS2, offrant une couverture complète des principaux thèmes de cybersécurité imposés aux entités. En intégrant ces solutions, les organisations peuvent renforcer leur résilience face aux cybermenaces et assurer une meilleure conformité réglementaire

Voici quelques exemples correspondance avec les solutions ITrust

Thèmes NIS 2 Solutions ITrust
Gouvernance de la gestion des risques en matière de cybersécurité Analyse des risques, accompagnement PCA/PRA/ISO, audit RGPD
Politiques d’analyse des risques et de la sécurité des systèmes d’information Analyse des risques
Gestion des incidents CTI, Reveelium, EDR, audits, SOC
Continuité des activités Accompagnement PCA/PRA
Sécurité de l’acquisition, du développement et de la maintenance des réseaux et des systèmes d’information Audits, Dark Web, EDR, Reveelium
Politiques et procédures d’évaluation de l’efficacité des mesures de gestion des risques en matière de cybersécurité Audits

ITrust vous accompagne

Contactez-nous

Découvrez comment vous conformer à la Directive NIS2 grâce à nos solutions.