En tant que responsable de la cybersécurité au sein d’une grande entreprise, il est primordial de rester à jour sur les réglementations en matière de sécurité informatique qui peuvent avoir un impact sur nos opérations. L’une de ces réglementations importantes est la directive NIS2 de l’Union européenne.
Qu’est-ce que la Directive NIS2 ?
La directive NIS – pour Network and Information System Security, abréviation de la Directive sur la Sécurité des Réseaux et des Systèmes d’Information, est une législation de l’Union européenne visant à renforcer la sécurité des réseaux et des systèmes d’information au sein de l’UE. Elle est conçue pour garantir un niveau élevé de sécurité des réseaux et des systèmes d’information dans des secteurs clés tels que l’énergie, les transports, la santé, les services bancaires et financiers, ainsi que les fournisseurs de services numériques essentiels.
A l’échelle européenne, cette directive vise donc à renforcer le niveau de cybersécurité des tissus économiques et administratifs de chaque pays membre de l’UE.
La NIS2 est une évolution de la directive NIS1, tenant compte des nouvelles menaces et des évolutions technologiques depuis son adoption en 2016. Elle introduit des exigences plus strictes en matière de sécurité des réseaux et des systèmes d’information, ainsi que des obligations supplémentaires pour les fournisseurs de services numériques essentiels et les opérateurs d’infrastructures critiques.
Les dernières révisions de la directive européenne NIS2
En fin d’année 2023, de dernières précisions ont été apportées à la directive NIS2, et de nouvelles révisions ont été adoptées. Ces révisions ont renforcé les obligations des entreprises dans le domaine de la cybersécurité, en introduisant des exigences plus précises en matière de gestion des incidents de sécurité, de notification des incidents aux autorités compétentes et de coopération entre les États membres de l’UE.
Parmi les principales nouveautés de la directive NIS2 figurent :
- L’élargissement du champ d’application : La directive étend son champ d’application à de nouveaux secteurs et services en ligne, ce qui signifie que davantage d’entreprises seront soumises à ses obligations en matière de cybersécurité.
En Europe, ce sont plus de 10000 entités qui ont été recensées pour un encadrement cyber renforcé, sur plus de 18 secteurs d’activités.
En France, ce sont plus de 600 entités qui seront concernées, partagées entre les entités publiques essentiellement liées à l’administration, et privées, allant de TPE/PME aux entreprises du CAC40, selon l’ANSSI.
Vous souhaitez savoir si votre organisation est concernée par la directive européenne NIS2 ?
Créez votre espace NIS2 et faites le test en ligne ! Vous saurez par la suite si vous devrez vous déclarer auprès de l’ANSSI pour entrer dans la partie cyber sous la directive NIS 2. - Le renforcement des obligations de notification : Les entreprises sont tenues de notifier les incidents de sécurité à leurs autorités nationales dans des délais plus stricts et avec plus de détails, ce qui vise à améliorer la réponse aux cyberattaques et à réduire les risques pour l’ensemble de l’UE.
- La coopération renforcée entre les états membres : La directive encourage une plus grande coopération et coordination entre les États membres de l’UE pour faire face aux cybermenaces transfrontalières, renforçant ainsi la sécurité numérique dans toute l’Europe.
Le 17 octobre 2024 marque l’échéance de transposition nationale pour les Etats membres de l’UE.
NIS 2 rentrera donc en vigueur en France lors du deuxième semestre 2024, au plus tard.
Toutefois, en droit français, la transposition devant se faire le 17 octobre 2024, n’est pas opposable tant que cette directive n’est pas introduite par l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) dans la législation nationale.
La récente dissolution de l’assemblée nationale et le délai de renouvellement de notre gouvernement a fait prendre du retard à cette transposition, qui semble être repoussée sans qu’il n’y ai de nouvelle date butoir d’annoncée.
Il demeure nécessaire de se préparer dès à présent puisque l’ANSSI prévoit une mise à niveau progressive de NIS2 jusqu’en 2027, dont les obligations les plus simples pourraient devoir être mises en œuvre très rapidement (après l’adoption des textes).
La prochaine étape sera dans 4 mois, le 17 janvier 2025, où les Etats-membres informeront la Commission Européenne des règles et mesures adoptées.
Enfin, le 17 avril, marquera la date butoir pour laquelle 17 avril 2025 chaque État membre établit la liste des entités régulées, distinguées en deux catégories : les entités essentielles (EE) et les entités importantes (EI).
La distinction en deux catégories d’entités régulées permet de définir des objectifs adaptés et
proportionnés aux enjeux de chacune de ces catégories.
L’impact sur les sociétés françaises
Pour les sociétés françaises, la directive NIS2 implique une adaptation aux nouvelles exigences en matière de cybersécurité et une mise à niveau de leurs pratiques et infrastructures de sécurité informatique. Les entreprises opérant dans des secteurs essentiels, tels que les services bancaires, la santé, les transports et l’énergie, seront particulièrement concernées par les nouvelles obligations de la NIS2.
En savoir plus sur les 18 secteurs d’activités concernés par NIS 2 via le site MonEspaceNIS2.
De plus, les entreprises françaises qui fournissent des services numériques essentiels ou qui exploitent des infrastructures critiques devront se conformer aux exigences spécifiques de la directive, ce qui pourrait nécessiter des investissements supplémentaires dans la sécurité des systèmes d’information et la gestion des risques.
La directive NIS2 représente une étape importante dans la promotion de la sécurité numérique en Europe, et son impact sur les entreprises françaises souligne l’importance croissante de la cybersécurité dans un monde de plus en plus interconnecté et numérique. Il est essentiel pour les entreprises de se préparer dès maintenant à se conformer à ces nouvelles réglementations et de renforcer leur posture de sécurité informatique pour protéger leurs activités et leurs clients contre les cybermenaces.
Pour aller plus loin à propos de la directive européenne NIS 2, vous pouvez également consulter les liens suivants :
- Cyber.Gouv.fr – la directive NIS2: https://cyber.gouv.fr/la-directive-nis-2
- Cyber.Gouv.fr – NIS2, ce qui va changer pour les entreprises et l’administration françaises : https://cyber.gouv.fr/directive-nis-2-ce-qui-va-changer-pour-les-entreprises-et-ladministration-francaises
Pour en savoir plus sur la mise à jour du NIST2 (Cybersecurity Framework – USA), consultez notre article de blog « NIST2, mise à jour majeure du référentiel de la cybersécurité » en cliquant ici.