Cybersécurité
NIS2, la directive européenne sur la cybersécurité qui concerne (presque) tout le monde
La directive NIS2 est une directive européenne visant à renforcer la réglementation en matière de cybersécurité au sein de l’Union européenne.
Elle succède à la directive UE 2016/1148 (NIS) et élargit son champ d’application pour inclure davantage de secteurs et d’entités, y compris les collectivités territoriales. La NIS2 impose des obligations strictes en matière de gestion des risques et de notification des incidents, afin d’améliorer la résilience des entités critiques face aux cybermenaces.
La directive NIS2 introduit des exigences accrues en matière de sécurité NIS pour les organisations, notamment en ce qui concerne la gestion des risques, la gouvernance de la cybersécurité, et la notification des incidents. Les entreprises doivent désormais adopter une approche proactive pour identifier et atténuer les risques potentiels, et mettre en place des mesures robustes pour protéger leurs systèmes d’information. La directive vise également à harmoniser les pratiques de cybersécurité à travers l’Europe, en établissant des normes communes que toutes les entités concernées doivent respecter.
La mise en œuvre de la directive NIS2 en France implique une collaboration étroite entre les autorités nationales et les organisations privées et publiques. L’ANSSI joue un rôle central dans ce processus, en fournissant des orientations et un soutien technique pour aider les entités à se conformer aux nouvelles exigences.
Les collectivités territoriales, en particulier, doivent adapter leurs infrastructures et leurs pratiques pour répondre aux nouvelles obligations imposées par la directive.
La directive NIS2 s’inscrit dans un contexte plus large de renforcement de la cybersécurité en Europe, aux côtés d’autres initiatives telles que la directive sur la résilience des entités critiques.
Transposition de la directive européenne
La transposition de la directive européenne en droit français nécessite des ajustements législatifs et réglementaires pour garantir une application cohérente et efficace des nouvelles règles.
Le rôle de l’ANSSI
En France, la transposition de la directive NIS2 est soutenue par l’ANSSI, qui accompagne les organisations dans leur mise en conformité (NIS2 compliance).
Pourquoi le NIS2 ?
Ces efforts visent à créer un environnement numérique plus sûr et plus résilient, capable de faire face aux défis croissants posés par les cybermenaces. La conformité à la directive NIS2 (NIS2 compliance) est essentielle pour les organisations qui souhaitent opérer en toute sécurité dans l’espace numérique européen et protéger leurs actifs et leurs données contre les cyberattaques.
La Directive NIS2 c’est quoi ?
Trouvez des réponses à vos questions les plus courantes.
NIS2 qui est concerné : selon la taille et le chiffre d’affaire ?
– Entreprises Essentielles (EE) : supérieure à 250 personne ou chiffre d’affaire supérieur à 43 millions d’euros.
– Entreprises Importantes (EI) :moins de 250 personnes et dont le chiffre d’affaires annuel n’excède pas 50 millions d’euros ou dont le total du bilan annuel n’excède pas 43 millions d’euros.
– Non concernées : les petites entreprises qui occupent moins de 50 personnes et dont le chiffre d’affaires annuel ou le total du bilan annuel n’excède pas 10 millions d’euros.
NIS2 quelles activités sont concernées ?
Les Organisations avec des activités spécifiques et notamment :
– les fournisseurs de réseaux de communications électroniques publics ou de services de communications électroniques accessibles au public
– les prestataires de services de confiance
– les fournisseurs de registre des noms de domaine de premier niveau et fournisseurs de services de système de noms de domaine
– les entités fournissant des services d’enregistrement de noms de domaine.
Quels sont les thèmes du NIS2 ?
Il y a environ 160 mesures de sécurité recommandées en fonction du statut de l’Organisation (Entreprise Importante ou Entreprise Essentielle).
Ces mesures sont organisées selon les thématiques : gouvernance, protection, défense, résilience. Ces thématiques et les mesures sont assez proches des référentiels existants tels qu’ISO27002 ou NIST2.
NIS2, quelle date d’entrée en vigueur ?
La date de promulgation interviendra probablement courant de l’année 2025. En raison du contexte géopolitique, la France va sans doute aller vite.
La date d’application suivra sans doute en 2026 voire 2027.
Combien de temps pour mettre en place NIS2 ?
En fonction du niveau de maturité en cybersécurité, le délai sera très fluctuant. Pour une Organisation déjà certifiée ISO27001, la compliance NIS2 est déjà réputée acquise.
Pour une organisation avec un très faible niveau de conformité, il faut compter une bonne année a minima.
Vous souhaitez connaître votre niveau de conformité ?
Nous vous proposons un outil de diagnostic NIS2 en ligne et gratuit.