Directive NIS 2 : quelles organisations concernées ?
En octobre 2024 aura lieu la transposition en France de la Directive NIS 2 qui vise à renforcer le niveau de cybersécurité au sein de l'UE. Êtes-vous concernés ?
Qu'est ce que la directive NIS 2 ?
La directive NIS 2, publiée le 14 décembre 2022 au JOUE sous le numéro 2022/2555, également connue sous le nom de deuxième directive sur la sécurité des réseaux et des systèmes d'information, est une législation de l'Union européenne qui vise à faire de la cybersécurité de masse en renforçant la sécurité des réseaux et des systèmes d'information au sein de l'UE.
Cette directive fait suite à la directive NIS (Network and Information Security) originale, adoptée en 2016, et vise à combler les lacunes identifiées dans la première directive, ainsi qu'à prendre en compte les évolutions technologiques et les nouvelles menaces cyber.
Cette deuxième version de la directive NIS, qui sera transposée en droit national en octobre 2024, propose des mesures pour renforcer la coopération entre les États membres de l'UE en matière de cybersécurité, notamment en ce qui concerne la gestion des attaques et des crises liées à la cybersécurité.
Elle introduit également des exigences plus strictes en matière de sécurité pour certains secteurs essentiels, tels que les infrastructures critiques, les services numériques essentiels et les fournisseurs de services en ligne.
Les secteurs d'activités concernés par la nouvelle version
Afin de renforcer le niveau de cybersécurité et de résilience face à ce risque devenu prioritaire et considéré comme hautement important par tous les acteurs de la prévention des risques, la directive NIS 2 présente 18 secteurs d’activités, répartis en :
Secteurs hautement critiques (annexe 1) :
Énergie
Transports
Secteur bancaire
Infrastructure des marchés financiers
Santé
Eau potable
Eaux usées
Infrastructure numérique
Gestion des services TIC
Administration publique
Espace
Autres secteurs critiques (annexe 2) :
Services postaux et d’expédition
Gestion des déchets
Fabrication, production et distribution de produits chimiques
Production, transformation et distribution des denrées alimentaires
Fabrication
Fournisseurs numériques
Recherche
Selon la taille et la catégorie de l’entité concernée, il existe ensuite deux niveaux d’applications de la directive :
Les entités importantes, qui auront droit à une version allégée ;
Les entités essentielles.
Êtes-vous concernés par la directive NIS 2 ?
Les équipes Conseil & Formation Cybersécurité de CNPP ont conçu ce logigramme simple et efficace qui vous aidera pour savoir si vous êtes concernés par cette la directive NIS 2 :
Les impacts de NIS 2 pour les organisations ?
La Directive NIS 2 implique des incidences majeures pour les entreprises et les organisations de l'Union européenne car elle les oblige à renforcer leur niveau de cybersécurité dans le but de se conformer aux nouvelles normes. Cela signifie que même les petites et moyennes entreprises doivent investir dans des mesures de sécurité appropriées et le cas échéant faire appel à des experts pour un accompagnement sur-mesure.
La mise en œuvre de la Directive NIS 2 représente un défi en termes de ressources et de compétences pour de nombreuses entreprises. Elles doivent non seulement investir dans des technologies de sécurité avancées, mais aussi former leur personnel et suivre les évolutions réglementaires.
Bien que la conformité à la Directive NIS 2 puisse être un défi, elle est essentielle pour protéger les réseaux et les systèmes d'information contre les cybermenaces croissantes. Les entreprises qui investissent dans la sécurité de leurs systèmes bénéficieront non seulement d'une meilleure protection contre les cyberattaques, mais aussi d'une plus grande confiance de la part de leurs parties prenantes et d'avantages concurrentiels sur le marché.
