Face à l’augmentation constante des cyberattaques et à la complexité croissante des infrastructures numériques, L’UE a décidé de renforcer ses mesures de cybersécurité avec la directive NIS2 (Network and Information Systems), nouvelle version succédant à la directive NIS de 2016.
Dans cet article, nous allons explorer les objectifs de la directive NIS2, les obligations qu’elle impose aux entreprises et organisations, ainsi que ses implications pour l’avenir de la cybersécurité en Europe.
Que signifie NIS2 ?
NIS2, Network and Information Security ou Sécurité des réseaux et des systèmes d’Information, est une directive qui vise à renforcer le niveau de cybersécurité des structures des pays membres de l’UE. Elle prépare les structures dans l’amélioration du niveau global de cybersécurité sur une échelle européenne.
Cette directive accompagne les structures dans leur Cybersécurité en prévoyant un socle de mesures juridiques, techniques et organisationnelles.
Qui est concerné par cette directive européenne ?
- Collectivités territoriales
- Administrations
- Moyennes entreprises
- Grandes entreprises
La directive NIS2 prévoit deux catégories pour les structures concernées :
- EE : entités essentielles, qui incluent les entreprises et organisations de grande taille opérant dans des secteurs critiques tels que l’énergie, la santé et les infrastructures numériques.
- EI : entités importantes, qui sont généralement des entreprises de taille moyenne dans des secteurs moins critiques, mais tout de même sensibles.
Les catégories s’établissent selon le degré de criticité, la taille de la structure et, pour les entreprises, leur chiffre d’affaires.
Cette catégorisation s’accompagne d’objectifs propres à chaque catégorie, adaptés et proportionnés aux enjeux observés.
Les secteurs concernés sont nombreux
- Santé
- Energie
- Services postaux et d’expédition
- Industrie manufacturière
- Infrastructures des marchés financiers
- Transports
- Gestion des déchets
- Recherche
- Eau potable
- Eaux usées
- Fournisseurs numériques
- Fabrication, production et distribution de produits chimiques
- Infrastructures numériques
- Administrations publiques
- Production, transformation et distribution de denrées alimentaires
- Secteur bancaire
- Espace
- Gestion des services Technologies de l’Information et de la Communication
Quelles sont les obligations pour les entités ?
- Le partage d’informations
- La gestion des risques de cybersécurité et la mise en place de mesures adaptées : mécanismes de gestion des incidents, plans de continuité d’activité…
- La déclaration d’incidents : alerte précoce dans les 24 heures et rapport complet sous 72 heures.
Des contraintes de temps ?
La directive NIS2 impose aux structures concernées la mise en place des mesures de protection efficaces au 17 octobre 2024.
———————————-
Pour accompagner les entités dans leur mise en conformité à la directive NIS2, l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Informations) a développé le service numérique MonEspaceNIS2. Cet espace, toujours en développement, propose trois services :
- Découvrir la directive NIS2 et rester informé
- Savoir si l’entité est assujettie à la directive
- Se déclarer auprès de l’ANSSI (service à venir prochainement)
Ce service reflète les 4 grandes missions de l’ANSSI : Défendre, connaître, partager et accompagner.
Vous souhaitez en savoir plus ?
RDV sur MonEspaceNIS2 : https://monespacenis2.cyber.gouv.fr/
Sources
https://www.usine-digitale.fr/article/directive-nis2-l-importance-du-zero-trust-et-de-la-segmentation-reseau-pour-securiser-l-ot.N2217548
https://cyber.gouv.fr/la-directive-nis-2
https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32022L2555
https://monespacenis2.cyber.gouv.fr/statique/Plaquette_NIS2_2024.pdf
https://monespacenis2.cyber.gouv.fr/