Cybersécurité : 5 questions sur la directive NIS 2

La directive européenne NIS 2 entre en vigueur ce jeudi 17 octobre 2024. Voici 5 choses à savoir sur sa mise en application.

José Billon
Publié le
NIS 2 Explication
Les entités concernées devront respecter trois obligations : partager des informations, gérer les risques cyber et déclarer les incidents de sécurité. © Ridwan - stock.adobe.com
Sommaire

1. Qu’est-ce que la directive NIS 2 ?

NIS 2 (Network and Information Systems 2) est une directive de l’Union européenne qui vise à renforcer le niveau de sécurité des États membres, en particulier au niveau des réseaux et des systèmes d’information utilisés pour fournir des services essentiels dans certains secteurs clés. Il s’agit d’un prolongement de la directive NIS, adoptée en 2016, qui se concentrait uniquement sur les opérateurs de services essentiels (OSE) et les fournisseurs de services numériques (FSN). NIS 2 étend ainsi le nombre d’entités concernées par la directive afin de faire face à la prolifération des cyberattaques.

Ce jeudi 17 octobre 2024 marque l’échéance de transposition nationale pour les États membres de l’Union européenne. Les pays auront ensuite jusqu’au 17 janvier 2025 pour informer la Commission européenne des règles et mesures adoptées. De son côté, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) prévoit d’accompagner les entreprises dans la mise en conformité. L’agence a notamment annoncé un délai de tolérance de trois ans afin que les entreprises bénéficient du temps nécessaire pour effectuer la transition. La conformité complète devrait donc être exigée pour 2027.

2. Quelles sont les entreprises concernées ?

La directive NIS 2 établit deux catégories d’entités : les entités essentielles (EE) et les entités importantes (EI). Elles sont définies selon « leur degré de criticité, leur taille et leur chiffre d’affaires (pour les entreprises) » afin de « définir des objectifs adaptés et proportionnés aux enjeux de chacune de ces catégories », précise l’ANSSI.

Au total, plus de 10 000 structures sont concernées, opérant dans les 18 secteurs d’activité suivants :

  • Administrations publiques
  • Eaux potables
  • Eaux usées
  • Énergies
  • Espace
  • Gestion des services de Technologies de l’Information et de la Communication (interentreprises)
  • Infrastructures des marchés financiers
  • Infrastructures numériques
  • Santé
  • Secteur bancaire
  • Transports
  • Fabrication, production et distribution de produits chimiques
  • Fournisseurs numériques
  • Gestion des déchets
  • Industrie manufacturière
  • Production, transformation et distribution de denrées alimentaires
  • Recherche
  • Services postaux et d’expédition

Pour savoir si votre entité est concernée et connaître sa catégorie, vous pouvez réaliser un test sur le site MonEspaceNIS2.

3. Que doivent faire les entreprises pour se conformer au NIS 2 ?

Les entités concernées par la directive devront se conformer à trois types d’obligations :

  • Le partage d’informations : les organisations devront transmettre certaines informations à l’autorité nationale compétente et veiller à ce que ces données soient régulièrement actualisées.
  • La gestion des risques cyber : les entités devront mettre en œuvre des mesures juridiques, techniques et organisationnelles appropriées pour prévenir et atténuer les risques susceptibles de compromettre la sécurité de leurs réseaux et systèmes informatiques.
  • La déclaration d’incidents : les structures devront informer l’autorité nationale compétente des incidents de sécurité ayant un impact significatif et fournir des rapports sur l’évolution de la situation.

4. Que risquent les entreprises qui ne s’y conforment pas ?

L’ANSSI précise que « des actions de supervision seront assurées pour vérifier le respect par les entités de leurs obligations ». Comme indiqué précédemment, un délai de tolérance sera observé avant la mise en place des contrôles.

Les organisations qui ne se conforment pas à la directive NIS 2 s’exposeront à des sanctions financières. Celles-ci seront proportionnées aux manquements et pourront atteindre 2 % du chiffre d’affaires pour les structures désignées comme entités essentielles (EE) et 1,4 % pour les entreprises définies comme entités importantes (EI).

5. Qu’est-ce que le site MonEspaceNIS2 ?

Pour accompagner les structures dans leur mise en conformité, l’ANSSI a développé le site MonEspaceNIS2. Sur ce site, vous pouvez :

  • Découvrir la directive NIS 2 et se tenir informé : l’accès à des informations détaillées sur la directive NIS 2 permet de suivre les évolutions liées à sa transposition ainsi qu’à la mise en place de nouveaux services par l’ANSSI.
  • Vérifier si une entité est concernée par la directive : un test en ligne est proposé afin de déterminer si une organisation est soumise aux exigences de la directive NIS 2.
  • Enregistrer une entité auprès de l’ANSSI (prochainement disponible) : un service d’enregistrement en ligne sera bientôt proposé. Il facilitera la transmission des informations nécessaires pour se conformer à la directive NIS 2.

Consulter MonEspaceNIS2

Semaine de la cybersécurité 2024
Sujets liés :
Publier un commentaire
Ajouter un commentaire

Votre adresse email ne sera pas publiée.

Visuel enquête Visuel enquête

Community managers : découvrez les résultats de notre enquête 2025

Réseaux, missions, salaire... Un webinar pour tout savoir sur les CM, lundi 29 septembre à 11h !

Je m'inscris

Les meilleurs outils pour les professionnels du web

Protect by Mailinblack

Anti-spam
Une solution pour protéger votre messagerie des cyberattaques

Norton Small Business

Antivirus
Un antivirus pour protéger les appareils en entreprise

Surfshark VPN

VPN
Une solution VPN complète et sécurisée
BDM / Articles / Tech / Cybersécurité : 5 questions sur la directive NIS 2

Sur le même thème

Cybersécurité

Cybersécurité : 5 chiffres clés qui démontrent l’impact majeur d’une faille
Cybersécurité

Attaque DDoS contre votre entreprise : comment réagir ?
Cybersécurité

Violations de données : la France est le 2e pays le plus ciblé, derrière les États-Unis
Cybersécurité

5 questions pour comprendre le Cyber Resilience Act
Données personnelles

Comment se protéger face aux fuites de données : les conseils de la CNIL
Interviews

Cyberattaques : comment les TPE, PME et ETI sont devenues des cibles privilégiées