ZENETYS > La directive NIS 2...enjeux et obligations

Objectif principal :

La directive NIS 2 vise à élever le niveau de cybersécurité en Europe en imposant des règles harmonisées et renforcées pour protéger les réseaux et systèmes d’information des secteurs clés (santé, énergie, transports, infrastructures numériques, etc.). Elle succède à NIS 1 en élargissant le champ d’application à plus de 10 000 entités (entreprises, administrations, collectivités) réparties dans 18 secteurs d’activité.

Cibles :

Entités essentielles (EE) et entités importantes (EI), classées selon leur criticité, taille et chiffre d’affaires.

Critères de catégorisation des entités (EE/EI) : La directive NIS 2 distingue deux types d’entités régulées en fonction de trois critères principaux :

Degré de criticité : Impact potentiel d’une cyberattaque sur la continuité des services essentiels (ex. : santé, énergie, infrastructures numériques).
Taille de l’entité : Seuil basé sur le nombre d’employés (ex. : moyennes et grandes entreprises, avec des seuils spécifiques selon les secteurs).
Chiffre d’affaires annuel : Pour les entreprises, un plafond minimal est défini (ex. : > 10M€ pour les entités importantes, > 50M€ pour les entités essentielles dans certains secteurs), couplé à un effectif minimum (ex. : > 50 salariés pour les EI, > 250 pour les EE). Ces critères, précisés lors de la transposition en droit national, permettent d’appliquer des obligations proportionnées, comme le niveau de supervision ou le montant des sanctions.

Les obligations varient selon la catégorie (EE ou EI), avec des sanctions pouvant atteindre 2% du chiffre d’affaires mondial pour les EE et 1,4% pour les EI en cas de non-conformité.

Obligations majeures :

Partage d’informations avec l’ANSSI (mises à jour régulières).
Gestion des risques cyber : mesures techniques, juridiques et organisationnelles adaptées.
Déclaration des incidents de sécurité ayant un impact significatif.

Accompagnement par l’ANSSI :

Consultations en cours avec les acteurs concernés depuis 2023.
Outil MonEspaceNIS2 : plateforme pour découvrir la directive, vérifier son assujettissement, et se déclarer en ligne.
Ressources pour la mise en conformité et la sensibilisation.

Calendrier :

Octobre 2024 : Échéance de transposition en droit national.
Janvier 2025 : Les États membres informent la Commission européenne des mesures adoptées.
Avril 2025 : Publication des listes nationales des EE et EI.

Pour aller plus loin : L’ANSSI encourage les entités à se préparer dès maintenant via monespacenis2.cyber.gouv.fr, avec des outils et des tests en ligne pour faciliter la conformité.

La directive NIS 2…enjeux et obligations

Dans la même thématique

Cybermoi/s 2025

Campagne de sensibilisation au Quishing Salon Data Centre World Paris 2024

Opération ImpactCyber : accompagner les TPE/PME dans la sécurisation de leurs systèmes d’information

Guide Pratique RGPD à destination des DPD et RSSI

l’ANCT et Cybermalveillance annoncent la mise à disposition de la MalletteCyber

Maturité et attentes des organisations françaises vis-à-vis des solutions CAASM ? (Livre Blanc)

Le MOOC de la CNIL est de retour dans une nouvelle version enrichie

Recommandations de sécurité pour la journalisation des systèmes Microsoft Windows en environnement active directory [Guide ANSSI]