La Directive NIS 2, adoptée en janvier 2023, représente une avancée majeure pour la cybersécurité au sein de l’Union européenne et de ses États membres. Cette révision étendue de la première Directive NIS (adoptée en 2016) répond à la nécessité croissante de faire face à des cybermenaces de plus en plus sophistiquées et de renforcer la coopération transfrontalière.
Présentation
La Directive NIS2 est un texte législatif élaboré par l’Union Européenne concernant la cybersécurité, et est une révision étendue de la première Directive NIS (adoptée en 2016).
Cette nouvelle version doit permettre d’harmoniser la résilience des infrastructures critiques au sein des 27 états de l’union européenne.
En synthèse, la directive NIS 2 :
- Vise à améliorer la gouvernance et la gestion des risques cyber.
- Impose des obligations strictes en matière de notification des incidents de sécurité.
- Tend à renforcer la sécurité de la Supply Chain et à réduire les risques liés aux sous-traitants.
- Introduit la responsabilité des dirigeants dans le pilotage de la politique de cybersécurité et en cas d’incidents de cybersécurité.
Calendrier
La directive NIS 2 a été publiée le 27 décembre 2022 au Journal Officiel de l’Union européenne et elle prévoit un délai de 21 mois pour que chaque Etat membre transpose en droit national les différentes exigences réglementaires. NIS 2 rentrera donc en vigueur en France au plus tard en octobre 2024.
Secteurs et entités concernés
Sous NIS 2, les entités régulées sont catégorisées en « entités essentielles » et « entités importantes ». Ce cadre élargi vise à inclure environ 160 000 entités en Europe, contre seulement 1 500 sous la directive NIS initiale. NIS 2 concerne 18 secteurs dont 11 secteurs d’activité considérés comme hautement critiques :
- L’énergie
- Les transports
- Le secteur bancaire
- Les infrastructures des marchés financiers
- La santé
- La fourniture et la distribution d’eau potable
- La gestion des eaux usées
- Les infrastructures numériques
- La gestion des services numériques TIC
- L’administration publique
- L’espace
Quant aux secteurs considérés comme critiques, ils sont au nombre de 7 :
- Les services postaux et d’expédition
- La gestion des déchets
- La fabrication, la production et la distribution de produits chimiques
- La production, la transformation et la distribution de denrées alimentaires
- La fabrication
- Les fournisseurs numériques
- La recherche
Exigences renforcées de notification et de sécurité
La directive NIS 2 introduit des obligations strictes en matière de notification d’incidents de sécurité et notamment concernant :
- La gestion des risques : Avec des politiques concernant la gestion des incidents, le PCA, PRA, PCI, PRI*, la sécurité de la chaine d’approvisionnement, l’évaluation des mesures de gestion de risques, la formation.
- La gouvernance : En responsabilisant les directions et en mettant en place une politique de formation liée aux enjeux de la cybersécurité.
- Le devoir d’information : Avec l’obligation de prévenir les autorités compétentes (CSIRT) dans les 24h avec formalisation de la gravité, le type de menace et les mesures d’atténuation appliquées.
Sanctions et conformité
Les sanctions pour non-conformité sont sévères, avec des amendes pouvant atteindre jusqu’à 10 millions d’euros ou 2% du chiffre d’affaires mondial. Ces mesures coercitives soulignent la détermination de l’UE à assurer une application rigoureuse de ses normes de sécurité informatique.
Ce qu’il faut retenir de NIS2
- NIS 2 élargit la portée avec désormais 18 secteurs d’activités couverts.
- NIS 2 renforce les obligations des entités en matière de gouvernance, gestion des risques et alerte des autorités
- NIS 2 Introduit également la responsabilité des dirigeant et des sanctions en cas de non-respect de la directive.
Pour assurer la conformité de votre entreprise avec la Directive NIS 2 et renforcer votre cybersécurité, contactez-nous dès aujourd’hui pour échanger sur vos besoins : Prendre rdv avec un expert Epsight.
PCA, PRA, PCI, PRI* : Plan de Continuité d‘Activité / Plan de Reprise d’Activité / Plan de Continuité Informatique / Plan de Reprise Informatique.