Face à l’augmentation constante des cybermenaces, l’Union européenne a adopté la directive NIS 2 (Network and Information Security), marquant une avancée significative en matière de cybersécurité. Basée sur les acquis de la directive NIS 1, cette nouvelle directive vise à renforcer la sécurité des réseaux et des systèmes d’information à travers l’Europe, en élargissant son périmètre d’application et en introduisant de nouvelles obligations pour les entreprises et les administrations.
Cet article explore donc les principales nouveautés de la directive NIS 2.
La directive NIS 2 étend son champ d’application à de nouveaux secteurs et types d’entités, incluant désormais près de 600 types d’entités différentes dans plus de 18 secteurs. Cette extension couvre non seulement les grandes entreprises, mais aussi les PME, les administrations publiques et les acteurs de la chaîne d’approvisionnement, particulièrement vulnérables aux cyberattaques.
De NIS à NIS 2, on vous résume ici les secteurs ajoutés (annexes 1 & 2) :
| NIS 1 et NIS 2 | NIS 2 secteurs supplémentaires |
|---|---|
| ⚡️ Énergie | 🍴 Alimentaire |
| 🏥 Santé | 🚱 Eaux usées |
| ✈️ Transport | 🏭 Industrie - Fabrication |
| 🚰 Eau potable | 🗑️ Gestion des déchets |
| 🏦 Bancaire | 📮 Services postaux |
| 🖥️ Infrastructure numérique | 🏛️ Administrations publiques |
| 📈 Marchés financier | 📡 Fournisseurs télécoms et services |
| 📱 Fournisseurs de services numériques | 🛰️ Espace |
| . | 🔬 Recherche |
| . | 🧪 Produits chimiques |
| . | ⚙️ Gestion des services interentreprises |
La directive NIS 2 s’applique aux entités de toutes tailles, avec des critères spécifiques pour leur inclusion. Sont concernées les entreprises disposant de 50 employés ou plus, ou dont le chiffre d’affaires annuel dépasse 10 millions d’euros. De plus, les entités réalisant des activités critiques selon les annexes 1 et 2 de la directive doivent également se conformer, indépendamment de leur taille. Ces critères permettent d’inclure non seulement les grandes entreprises, mais aussi de nombreuses PME, renforçant ainsi la cybersécurité à tous les niveaux de l’économie.
Sécurité des Systèmes Les entités régulées devront mettre en place des mesures de cybersécurité rigoureuses pour protéger leurs systèmes critiques. Ces mesures seront accompagnées de guides et d’assistance à la mise en œuvre, adaptés au niveau de criticité des entités (essentielles ou importantes).
Comme sous NIS 1, les entités devront signaler tout incident de sécurité significatif à l’ANSSI. NIS 2 introduit des délais plus stricts pour ces notifications et un cadre de sanctions renforcé pour les non-conformités.
NIS 2 promeut une coopération accrue entre les États membres de l’UE via le réseau CyCLONe (Cyber Crisis Liaison Organisation Network) , facilitant une gestion coordonnée des crises cyber à l’échelle européenne.
Un des points clés de NIS 2 est l’introduction d’un mécanisme de proportionnalité. Les entités sont classées en deux catégories : essentielles et importantes, selon leur niveau de criticité et leur taille. Les obligations réglementaires sont ainsi adaptées à la réalité de chaque entité, assurant une mise en œuvre efficace et réaliste des mesures de sécurité.
Les entités concernées par NIS 2 sont déterminées par des critères de taille (nombre d’employés, chiffre d’affaires) et la nature de leur activité. Les consultations en cours permettront de clarifier ces définitions et d’assurer une compréhension mutuelle entre les autorités et les entités régulées.
Le régime de sanctions de NIS 2 est inspiré du RGPD, avec des amendes pouvant atteindre 2 % du chiffre d’affaires mondial pour les entités essentielles et 1,4 % pour les entités importantes. Les détails des processus de sanction sont en cours d’élaboration.
En réponse aux nouvelles obligations de la directive NIS 2, notre société propose des services de scan et d’audit de sécurité conformes aux exigences réglementaires. Nos solutions incluent :
Avantages de nos Services
La directive NIS 2 représente une étape majeure en Europe. En élargissant son périmètre et en renforçant les obligations des entités régulées, elle vise à améliorer la résilience face aux cybermenaces croissantes. Chez inIT CS, nous sommes prêts à vous accompagner dans cette transition, en vous offrant des services de scan et d’audit adaptés aux nouvelles exigences.
Préparez-vous dès maintenant pour une mise en conformité efficace et sécurisée.
Pour en savoir plus sur nos services et comment nous pouvons vous aider à répondre aux exigences de NIS 2 - contactez-nous.