La directive NIS2 : c’est quoi ? Suis-je concerné ?

23 janvier 2024
Extérieur du parlement européen qui annonce la nouvelle directive NSI2

Vous vous demandez si cette directive vous concerne ? En quoi elle consiste ? Si vous avez des actions à mener ?

Vous êtes au bon endroit. 

 

Même si ce n’est pas aux JO, une grosse épreuve nous attend en 2024 🔥💪🏼

 

La cybersécurité occupe une place centrale dans le paysage actuel, et l’Union Européenne (UE) a récemment mis à jour son cadre réglementaire pour renforcer la protection des entreprises contre les menaces en ligne. 

 

Si vous êtes une entreprise opérant en Europe, la Directive (UE) 2022/2255, également connue sous le nom de NIS 2, devrait retenir toute votre attention. 

 

Voici ce que vous devez savoir.

 

1. Pourquoi la Directive NIS 2 existe ?

La première version, NIS, adoptée en 2016, a lancé les bases de la cybersécurité européenne en ciblant les opérateurs critiques. Cependant, les évolutions technologiques et les nouvelles menaces ont conduit à la révision de cette directive. La NIS 2 vise à élargir la portée de cette directive pour inclure un éventail plus large d’entreprises, reconnaissant ainsi les changements dans le paysage des cybermenaces.

 

2. Qui est concerné ?

La portée de la NIS 2 est significativement élargie. Alors que la NIS se concentrait principalement sur les opérateurs critiques, la NIS 2 s’adresse à un éventail plus vaste d’entités, incluant les PME, les ETI, et même les entités de la chaîne d’approvisionnement. 

 

Les secteurs et sous-secteurs concernés par le NIS2 sont définis dans l’annexe I du règlement. Ils comprennent notamment les domaines suivants :

  • Énergie (électricité et gaz),
  • Transports (voie ferroviaire, route, voie navigable, aérien et spatial, mais aussi activités portuaires et services postaux),
  • Banque,
  • Services financiers,
  • Santé,
  • Approvisionnement en eau,
  • Approvisionnement alimentaire,
  • Industrie numérique (technologies de l’information et de la communication, services en ligne, services d’informatique cloud),
  • Autorités publiques.

 

Chaque État membre de l’Union européenne peut également identifier d’autres secteurs et sous-secteurs qui sont jugés essentiels pour son bon fonctionnement. 

 

Ces secteurs sont soumis à des obligations spécifiques en matière de cybersécurité, telles que la notification d’incidents de sécurité et la mise en œuvre de mesures de sécurité appropriées.

 

Il est important de noter que les détails spécifiques peuvent varier, et il est recommandé de consulter la législation en vigueur ainsi que les autorités compétentes dans chaque pays pour obtenir des informations actualisées sur le NIS2 ou autres législations en vigueur dans chaque pays.

 

3. Obligations et Responsabilités : en résumé, qu’est-ce qui change ?

La NIS 2 introduit des obligations plus strictes en matière de gouvernance et de responsabilité. Les entreprises essentielles et importantes doivent évaluer la qualité de leurs produits et services, mettre en place des mesures de gestion des risques, et adopter des pratiques de cybersécurité de base. 

 

De plus, comme cité plus haut, le partage d’informations entre les entreprises et la déclaration d’incidents majeurs sont désormais des éléments clés.

 

4. Sanctions et Implications : pourquoi c’est important ?

Les sanctions en cas de non-conformité sont significatives. Les entreprises importantes peuvent faire face à des amendes allant jusqu’à 2% de leur chiffre d’affaires annuel mondial, incitant ainsi les dirigeants à assumer une responsabilité directe pour la cybersécurité. 

 

Cela souligne l’importance de prendre des mesures proactives pour se conformer aux nouvelles exigences.

 

Mais au-delà des sanctions, ces directives sont avant tout là pour renforcer le niveau de cybersécurité global en Europe, qui mérite de l’être.

 

5. Calendrier et Prochaines Étapes : Comment se préparer ?

La NIS 2 est entrée en vigueur en janvier 2023, mais les États membres ont jusqu’en octobre 2024 pour la transposer dans leur législation nationale. 

 

Cela signifie qu’en tant qu’entreprise, vous avez le temps de vous préparer. Commencez par évaluer votre statut actuel en matière de cybersécurité, identifiez les domaines d’amélioration, et créez un plan d’action clair pour vous conformer à la NIS 2.

 

En conclusion : une évolution significative 

En conclusion, la Directive NIS 2 représente une évolution significative dans le paysage de la cybersécurité européenne. 

Les entreprises doivent prendre conscience de ces changements, évaluer leur niveau de préparation actuel, et mettre en place les mesures nécessaires pour garantir une cybersécurité robuste. 

La conformité à la NIS 2 non seulement vise à renforcer la sécurité de votre entreprise, mais démontre également votre engagement envers la protection des données et la prévention des cybermenaces, et donc votre relation client.

Update : l’ANSSI vient de lancer MonEspaceNIS2, plateforme de test pour déterminer si votre entreprise est régulée par la directive NIS2 et à quelle catégorie elle appartient.

 

 portrait

Simon VANPOUCKE

Chargé de communication et de missions RH, padawan devenu jedi après plus d'1 an et demi en alternance. Aussi passionné de sport et de sujets en tout genre, je crois en la force de chacun pour faire évoluer l'équipe et aller toujours plus loin, jusqu'à des galaxies très, très lointaines.

Olivier ANDOH, fondateur de SkillX | Cybersécurité et cloud

Rencontrons nous !

Prenez rendez-vous avec l'équipe SkillX

Prendre RDV

⚡ Votre navigateur est obsolète ⚡

Mettre à jour mon navigateur