Support et solutions pour la directive NIS 2

L'UE a introduit une nouvelle législation en matière de cybersécurité, la directive Network and Information Security 2 (NIS 2). Cette directive représente une amélioration significative de la directive NIS 1 mise en application en 2016, obligeant les États membres de l'UE à adopter et à appliquer rigoureusement des exigences plus strictes en matière de cybersécurité.

Délais : D'ici le 17 octobre 2024, les États membres doivent adopter et publier les mesures nécessaires pour se conformer à la directive NIS 2. Ils devront appliquer ces mesures à partir du 18 octobre 2024.

Le champ d'application de la directive NIS 2 englobe toutes les organisations, y compris les entreprises et les fournisseurs, qui jouent un rôle crucial dans le maintien de l'économie et de la société européennes et sont par conséquent, réparties en deux types d'entité :

• Entités essentielles
• Entités importantes

Si votre organisation entre dans l'une des catégories suivantes et répond aux critères suivants : avoir plus de 50 employés ou un chiffre d'affaires supérieur à 10 millions d'euros, la conformité à la directive NIS 2 devient obligatoire.

Entités publiques et privées dans 18 secteurs spécifiques comprises en annexe 1 et 2 de la réglementation NIS 2 :

Annexe 1 :

• Energie
• Transports
• Secteur bancaire
• Infrastructures des marchés financiers
• Santé
• Eau potable
• Eaux usées
• Infrastructure numérique
• Gestion des services TIC
• Administration publique
• Espace

Annexe 2 :

• Services postaux et d'expédition
• Gestion des déchets
• Fabrication, production et distribution de produits chimiques
• Production, transformation et distribution des denrées alimentaires
• Fabrication
• Fournisseurs numériques
• Recherche

La nouvelle directive NIS 2 vise à renforcer la résilience et les capacités de réaction aux incidents des secteurs public et privé. La directive se concentre spécifiquement sur la lutte contre la cybercriminalité et l'amélioration de la gestion de la cybersécurité au niveau européen et national.

La directive NIS-2 a été publiée au Journal officiel L333 de l'Union européenne le 27 décembre 2022. Elle entre en vigueur le vingtième jour suivant sa publication. Les États membres doivent transposer la directive en droit national dans un délai de 21 mois à compter de son entrée en vigueur dans le cas de la NIS 2, le 17 octobre 2024.

L'ANSSI en France, a pour rôle de s'assurer de la bonne mise en application et du respect des mesures de conformité auxquelles sont soumises les entités essentielles et importantes dans le cadre de la NIS 2.

En cas de non-conformité, des pénalités peuvent être appliquées pour non-respect des mesures de gestion de cybersécurité ou des obligations de déclaration. Ces dernières varient selon le type d'entité dans lequel se retrouve une entreprise :

• Entreprise Essentielle (EE) : jusqu'à 10 million d'euros d'amende ou 2 % du chiffre d'affaires mondial annuel.
• Entreprise Importante (EI) : jusqu'à 7 million d'euros d'amende ou 1,4 % du chiffre d'affaires mondial annuel.

Les membres des organes de direction des entités essentielles et importantes sont tenus de suivre une formation et encouragent les entités essentielles et importantes à dispenser régulièrement une formation similaire à leurs employés.

La NIS 2 complète la NIS 1 et étend son champ d'application qui fournit de meilleures orientations et clarifie les exigences de l'UE en matière de cybersécurité. En effet, la NIS 1 a posé les bases d'une réglementation de cybersécurité commune en établissant un cadre législatif commun européen. Toutefois, elle n'était pas exemple de limite et de frein lors de sa mise en application. Notamment en ce qui concerne le manque de détail concernant les exigences à mettre en place pour être conforme, l'oubli des entreprises de la supply chain et le manque de répression en cas de non-respect de la NIS 1.

La NIS 2, quant à elle, élargit le champ d'application des entités essentielles et importantes, précise les responsabilités des dirigeants, décrit la manière dont les contrôles doivent être effectués et traite de la manière dont les violations doivent être signalées. Pour la première fois, les administrateurs sont responsables sur leurs biens personnels s'ils ne respectent pas les exigences légales et qui peut amener à la mise en place de sanctions par l'ANSSI. En résumé, la NIS 2 est une version améliorée de la NIS 1 qui offre des lignes directrices plus complètes et plus détaillées en matière de cybersécurité et qui désormais, se veut répressive.