NIS 2 est une directive de l’Union Européenne publiée en 2022, elle a pour objectif d’augmenter les mesures prises par les entreprises européennes en terme de cybersécurité. Elle fait suite à la directive NIS 1 de 2016 qui avait permis une première coopération entre les différents Etats membres de l’Union Européenne.
Pourquoi a-t-elle été adoptée ?
Le Parlement Européen a décidé d’adopter NIS 2 face à la recrudescence et l’évolution des menaces. Avant les principales cibles des cyberattaques étaient les grandes entreprises qui ont ainsi pu élever leur niveau de sécurité, cependant aujourd’hui les PME, ETI et collectivités territoriales sont aussi touchées par ces attaques alors qu’elles n’ont pas le même niveau de sécurité pour se protéger. NIS 2 vient donc élargir ce périmètre et garantir une meilleure homogénéité de l’application de la directive des Etats membres.
Quels secteurs seront-ils touchés par NIS 2 ?
NIS 2 prévoit une liste des secteurs concernées dans deux annexes.
L’annexe 1 comprend:
- L’énergie: électricité, réseaux de chaleur et de froid, pétrole, gaz, hydrogène
- Les transports: ferroviaires, aériens, par eau, routiers
- Le secteur bancaire
- L’infrastructure des marchés financiers
- La Santé
- Les eau potable
- Les eaux usées
- L’infrastructure numérique
- La gestion des services TIC
- L’administrations publiques: administration centrale
- L’espace
L’annexe 2 comprend:
- Les services postaux d’expédition
- La gestion des déchets
- La fabrication, production et distribution de produits chimiques
- La production, transformations et distribution des denrées alimentaires
- La fabrication: de dispositifs médicaux et de dispositif médicaux de diagnostic in vitro, de produits informatiques, électroniques et optiques, d’équipements électriques, de machines et équipements, de véhicules automobiles, remorques et semi-remorques, d’autres matériels de transports
A partir de quelle taille une entité est-elle concernée par NIS 2 ?
La directive fait la distinction entre les entités essentielles et importantes.
- Les entités essentielles sont les entités de l’annexe 1 de taille intermédiaire ou grande (elles comprennent au moins 250 employés ou ont un chiffre d’affaire supérieur ou égal à 50 millions d’euros ou un bilan annuel supérieur ou égal à 43 millions d’euros).
- Les entités importantes sont les entreprises de tailles intermédiaire et grande des secteurs de l’annexe 2 et les entreprises de tailles moyennes des deux annexes.
Voici un tableau récapitulatif:
Obligations et contrôles
Les entités régulées auront plusieurs obligations de notification, contact et déclaration des incidents majeurs et la conformité aux mesure de sécurité prévues par NIS 2. Il existe certaines exceptions et cas particuliers comme pour les acteurs du numériques qui ne seront pas soumis aux mêmes exigences et certaines organisations choisies spécifiquement par les Etats membres.
L’échéance de transposition est en octobre 2024, en France ce sera l’ANSSI qui régulera NIS 2 et qui effectuera des contrôles. Celle-ci organise une phase de consultation pour le second semestre 2023.
Sources:
Nous contacter:
Ortello intégrateur sécurité peut vous accompagner sur tous vos projets de sécurité et de mise en conformité avec cette nouvelle directive. Vous pouvez déjà consulter notre parcours de sécurisation mis en place suite aux recommandations de l’ANSSI.
(+33) 01 34 93 21 80
Mail: securite@ortello.fr