Qu’est-ce que la directive NIS2 ?
La directive européenne NIS2 (Network and Information System Security), adoptée en janvier 2023, représente une avancée majeure dans le domaine de la cybersécurité en Europe. Son objectif est d’améliorer la résilience face aux cybermenaces en élevant le niveau de cybersécurité dans toute l’Union européenne. Cette directive élargit le champ d’application de la précédente directive NIS, incluant désormais un plus grand nombre d’entités et de secteurs clés. Elle impose un ensemble de mesures juridiques, techniques et organisationnelles visant à renforcer la protection des réseaux et des systèmes d’information essentiels. L’ANSSI est à l’initiative de cette directive et elle joue un rôle crucial dans sa mise en œuvre, en assurant la coordination et la communication.
Quand la directive NIS2 entrera-t-elle en vigueur ?
Elle a été adoptée par le Parlement européen le 10 novembre 2022 et publiée officiellement dans le Journal officiel de l’Union européenne le 27 décembre 2022. Conformément au RGPD, les États membres disposent d’un délai de 21 mois pour intégrer ces réglementations dans leur législation nationale, la date butoir étant fixée au 17 octobre 2024.
Qui est concerné par la directive NIS2 ?
La directive NIS2 concerne un large éventail d’entités, allant des moyennes entreprises aux grandes entreprises, ainsi que certaines collectivités territoriales. Plus précisément, elle cible les entreprises comptant plus de 50 salariés et réalisant un chiffre d’affaires supérieur ou égal à dix millions d’euros dans les secteurs définis ci-dessous.
Quelle est la différence entre une entité essentielle et une entité importante ?
La directive NIS2 établit une distinction entre deux catégories d’entités régulées : les Entités Essentielles (EE) et les Entités Importantes (EI). Cette classification se base sur des critères tels que le niveau de criticité, la taille et le chiffre d’affaires pour les entreprises. Les entreprises classées comme essentielles ou importantes sont issues des secteurs concernés et sont responsables d’infrastructures dont l’arrêt aurait des répercussions significatives sur l’économie et le fonctionnement du pays. En général, les ETI et les grandes entreprises inscrites sur la liste des opérateurs de services essentiels seront classées en tant qu’entités essentielles. La sélection des entreprises concernées se fera dès la publication du décret, au plus tard le 17 octobre 2024
Les secteurs concernés :
Mon entité est-elle concernée ?
Vous avez la possibilité de tester votre éligibilité : https://monespacenis2.cyber.gouv.fr/simulateur
Quelles obligations pour les entités ?
– Le partage d’informations
Les entités seront tenues de fournir un certain nombre d’informations à l’ANSSI et de les mettre à jour.
– La gestion des risques cyber
La mise en place de mesures adaptées : les entités devront mettre en place des mesures juridiques, techniques et organisationnelles pour gérer les risques qui menacent la sécurité de leurs réseaux et de leurs systèmes d’information.
– La déclaration d’incidents
Les entités devront signaler à l’ANSSI leurs incidents de sécurité ayant un impact important et fournir des rapports concernant l’évolution de la situation.
Comment anticiper l’entrée en vigueur de la directive NIS2 ?
La directive NIS2 ne sera officiellement applicable qu’à partir d’octobre 2024, en attendant son intégration dans la législation française.
Les entités déjà soumises à NIS1 doivent maintenir leurs efforts de mise en conformité et se préparer à la nouvelle directive. Les nouvelles entreprises concernées par NIS2 doivent elle aussi dès à présent entreprendre les démarches pour renforcer leur sécurité informatique.
Trinaps vous accompagne dans cette démarche
Vous faites partie des secteurs concernés ou vous avez un doute ? Vous avez un besoin de conseils pour vous mettre à jour sur cette nouvelle directive ? Nous sommes là pour vous accompagner !