La directive NIS 2 est un nouveau cadre légal qui vise à renforcer la cybersécurité à l’échelle de l’Union Européenne. Qui est concerné par cette directive ? Nous vous en disons plus dans cet article.
nis 1 à nis 2 : qu’est-ce qui change ?
Vols de données bancaires ou de données personnelles, piratages d’hôpitaux : l’actualité cybersécurité est permanente et concerne toutes les entreprises, de toutes tailles et de tous les secteurs. La directive NIS (Network and Information Security) s’est appliquée en Europe à partir de 2018 et a émergé du constat que ces attaques ne pourraient pas être empêchées.
La directive NIS a donc été le premier axe législatif à l’échelle de l’Union Européenne concernant la cybersécurité. Le principal objectif de cette directive était d’améliorer la sécurité des réseaux et des systèmes d’information des entreprises.
Elle a eu pour conséquence la désignation d’environ 300 entreprises comme « opérateurs d’importance vitale » en France. Ces sociétés ont alors eu des obligations de sécurisation renforcée puisque l’État considère que leur défaillance, en cas de cyberattaque, déstabiliserait le fonctionnement du pays.
la publication européenne de nis 2
Mais cette première version de la directive s’est avérée insuffisante. L’Union Européenne a donc estimé que la mise à jour de NIS 1 était indispensable pour être à la hauteur des enjeux actuels en cybersécurité. De nombreux changements ont donc été apporté par NIS 2, publiée le 27 décembre 2022 au Journal officiel de l’Union Européenne.
sa transposition dans la loi française
Actuellement, la directive NIS 2 n’est pas encore publiée en France. Sa transposition dans le droit français est prévue pour le 17 octobre 2024 au plus tard. En effet, les États membres doivent adopter nationalement des lois de transposition pour adapter à leur environnement les principes présents dans le texte européen.
la directive nis 2 : êtes-vous concernés ?
NIS 2 s’adresse à :
La directive NIS 2 peut vous impacter, directement ou indirectement, selon ces critères :
DIRECTEMENT : vous êtes une entreprise qui a un effectif de plus de 50 salariés, un chiffre d’affaires annuel de plus de 50 millions d’euros et/ou un bilan annuel supérieur à 43 millions d’euros et vous opérez dans l’un des secteurs suivants :
- Opérateurs de services essentiels (OSE) : énergie (électricité, gaz, pétrole) ; transport (aérien, ferroviaire, maritime, routier) ; bancaire et infrastructures de marché financier ; santé (hôpitaux, laboratoires, établissements pharmaceutiques) ; fourniture et distribution d’eau potable.
- Fournisseurs de services numériques (FSN) : moteurs de recherche ; services cloud ; places de marché en ligne.
- Nouveaux secteurs et services : fournisseurs de services de communication électronique ; fournisseurs de services de confiance ; gestion des déchets, administration publique, et espaces numériques critiques.
INDIRECTEMENT : si vous êtes sous-traitant d’une entreprise directement régulée par la directive NIS 2, alors cette dernière peut aussi vous imposer de vous mettre aux normes.
Afin d’assurer un traitement équitable, la directive NIS 2 distingue deux catégories d’entités régulées :
EE
entités essentielles
EI
entités importantes
Cette catégorisation se base sur le degré de criticité, la taille et le chiffre d’affaires des entreprises. La réglementation de la directive NIS 2 s’appuiera sur ces deux types d’entités pour définir des objectifs adaptés aux enjeux de chaque catégorie.
Pour déterminer si votre entreprise est régulée par cette directive, effectuez le test en ligne, sous réserve de l’adoption définitive de NIS 2 en France.
MonEspaceNIS2 – Suis-je concerné ? – Pour bien débuter (cyber.gouv.fr)
La transposition de la directive NIS 2 dans la loi française apportera des précisions sur les étapes de sécurisation à suivre pour les entreprises concernées. Restez connectés, nous vous détaillerons tout dans un prochain article de blog !
Retrouvez nos solutions de cybersécurité sur notre site web et découvrez les services que nous pouvons vous apporter autour !