Qu’est-ce que la directive NIS2 ?

Qu'est-ce que la directive NIS2 ?

La Directive NIS 2 (Network and Information Systems Directive) a été adoptée par le Parlement Européen le 10 novembre 2022. Sa date butoir d’application est le 17 octobre 2024.

1. Qu’est-ce que la directive NIS2 ?

Cette réglementation permet d’encadrer les entreprises et de les aider à se protéger contre les cybermenaces mais surtout d’assurer la résilience de leur système d’information et au-delà, de garantir leur mission de service public auprès des populations et entreprises. 

La directive NIS 2 est le prolongement de la directive NIS adoptée en juillet 2016, transposée en France en 2018. Conçue comme un bouclier législatif au niveau Européen, cette directive dans sa première version a eu pour but de définir un niveau d’exigence commun et relatif à la « sécurité des réseaux et systèmes d’information des opérateurs de services essentiels et des fournisseurs de service numérique » (Décret n° 2018-384 du 23 mai 2018) dont l’interruption pourrait impacter significativement le fonctionnement de l’économie ou de la société. C’est au travers de cette transposition nationale que le statut d’opérateur de services essentiels (OSE) vient compléter le statut d’opérateur d’importance vital (OIV) établi par la loi de programmation militaire de 2013.

Dans le but de renforcer cette première version et d’étendre le niveau d’exigence à de nouveaux acteurs, la directive NIS 2 a été adoptée le 10 novembre 2022 et est en cours de transposition dans les états.

Elle définit de manière plus précise l’obligation de notification aux autorités compétentes en cas d’incident de sécurité et supprime le statut d’OSE pour le remplacer par deux nouvelles typologies d’organisations : les entités essentielles (EE) et les entités importantes (EI). Dernière nouveauté et non des moindres, NIS 2 intègre les entreprises de sous-traitance et dans certains cas les collectivités territoriales à la liste des acteurs concernés.

2. Quelle est la date butoir de mise en application ?

Adoptée le 10 novembre 2022 par le Parlement Européen. Publiée au Journal Officiel de l’Union Européenne le 27 décembre 2022. Les États membres disposent de 21 mois pour établir la transposition de la réglementation au sein de leur droit national avec une date butoir au 17 octobre 2024.

3. À quel type d’entreprise et à quels secteurs d’activité s’adresse la NIS2 ?

Aux entreprises de plus de 50 salariés réalisant plus d’un million d’euros de chiffre d’affaires dans les secteurs concernés. Ces entreprises peuvent être des PME, grandes entreprises ou dans certains cas des collectivités territoriales.

Les 19 secteurs de NIS 1 sont : Les secteurs de la santé, de l’énergie, des transports, le secteur bancaire, les infrastructures des marchés financiers, le secteur de l’eau potable, des eaux usées, les infrastructures numériques, les fournisseurs de services numériques, les administrations publiques, le secteur aérospatial.

À cela, NIS 2 complète par les secteurs suivants : Le secteur des services postaux et d’expédition, le secteur de la gestion des déchets, le secteur de la fabrication, de la production et distribution de produits chimiques, le secteur de l’industrie, le secteur agroalimentaire, les fournisseurs de services numériques.

4. Pourquoi cette directive est-elle stratégique pour ADITU ?

Cette directive renforce le caractère proactif que doivent prendre les entreprises en matière de cybersécurité. En donnant un cadre juridique à cette approche, NIS 2 permet de relever le niveau de sécurité et d’organiser la résilience des infrastructures critiques à l’échelle européenne.

Dorénavant, un manque budgétaire, une infrastructure vieillissante ou un manque d’anticipation ne seront plus des excuses face aux pénalités que NIS 2 introduit. La réalité de la menace cyber aujourd’hui est qu’elle est une épée de Damoclès pour toutes entreprises et que seule la maitrise de la protection de ses données permet d’organiser la résilience et la bonne continuité d’activité critique.

Les solutions de protection, sauvegardes, télé-sauvegardes et de continuité d’activité proposées par ADITU sont la garantie stratégique de conformité face à NIS 2 et au-delà, des menaces cyber. ANTICIPEZ !

5. Quelle est la différence entre une entreprise dite « entité essentielle » et une entreprise dite « entité importante » ?

Les entreprises essentielles et importantes sont des entreprises faisant partie des 35 secteurs concernés qui ont en charge une infrastructure dont l’arrêt aurait un impact significatif pour l’économie et le fonctionnement du pays. Sauf cas particulier, les ETI et grandes entreprises faisant partie de la liste des opérateurs de services essentiels (OSE) seront catégorisées comme entités essentielles.

« Il est « très probable » que tous les établissements de santé publics comme privés seront concernés par la transposition dans le droit français de la directive européenne NIS (Network and Information Security) 2, a indiqué la coordinatrice sectorielle santé de l’Agence nationale de sécurité de systèmes d’information (Anssi), Laure Duhesme, le 13 juin au congrès de l’Association pour la sécurité des systèmes d’information de santé (Apssis). Publiée le 27 décembre 2022 au Journal officiel de l’Union européenne, la directive entrera en vigueur au plus tard au second semestre 2024. L’Anssi, en tant que régulateur de NIS pour la France, est chargée de sa transposition. Elle distingue les « entités essentielles » et les « entités importantes », qui auront des obligations de sécurité informatique différentes selon les cas. Dans le secteur sanitaire, les établissements ayant plus de 250 salariés seront désignés d’office « entités essentielles », y compris les centres hospitaliers (CH), a indiqué Laure Duhesme. Interrogée par le président de l’Apssis, Vincent Trély, sur la possibilité que les 3.000 hôpitaux français publics et privés puissent être concernés dès lors qu’ils ont plus de 250 employés, la représentante de l’Anssi a indiqué que c’est « très probable ». « Il faut que la plupart des hôpitaux se préparent à une désignation potentielle », a-t-elle ajouté.
Source : Article TIC Santé Cybersécurité: tous les hôpitaux potentiellement concernés par la directive NIS 2
 

6. A quelles difficultés sont confrontées les entreprises concernées ?

Il existe trois niveaux de difficulté dans l’implémentation des exigences réglementaires de cette directive :

  • manque de ressources internes pour appliquer les mesures de sécurité et s’assurer de leur pleine conformité ;
  • une difficulté de compréhension de la réglementation notamment du fait des délais imposés dans la déclaration des incidents de sécurité auprès des autorités compétentes ;
  • coût élevé des investissements à mettre en œuvre dans des produits de cybersécurité pour se conformer.

7. Quelles sont les sanctions en cas de non-conformité à la NIS2 ?

Pour les entreprises non coopérantes ou en faute, la Directive Européenne prévoit des sanctions. La Directive NIS 2 offre un droit d’injonction aux États membres rencontrant un cas d’incident de sécurité et un refus de collaboration avec les autorités. Ces sanctions peuvent prendre différentes formes telles que des amendes dont le montant peut atteindre 10 millions d’euros du chiffre d’affaires total annuel de l’organisation mais également des sanctions pénales et des mesures de réparation.

Vous êtes une entreprise, un acteur de Santé ? Vous souhaitez être accompagné pour être en conformité avec la NIS2 ? Demandez votre visite sur site afin que l’on vous propose la solution la mieux adaptée à vos besoins. Contactez nous au 09 80 50 50 50.

Retour sur toute l'actualité

Nos actus récentes :

Pourquoi héberger vos données en datacenter ?

Un datacenter ou centre de données, est une infrastructure composée d’un réseau d’ordinateurs et d’espaces de stockage. Cette infrastructure hautement sécurisée est utilisée par les entreprises quel que soit leur taille ou domaine d’activité pour organiser, traiter, stocker et entreposer de manière fiable …

En savoir plus

Alerte canicule : Votre parc informatique lui aussi a besoin d’air

Vos postes informatiques et vos serveurs peuvent sérieusement souffrir de la chaleur. Prenez garde à climatiser l’air (20° optimalement) et à maintenir un niveau d’humidité acceptable au sein de votre entreprise pour éviter que vos équipements informatiques ne manifestent des signaux de …

En savoir plus

5 avantages de l’infogérance

L’infogérance, également connue sous le nom de « gestion déléguée » ou de « gestion des services informatiques », est une pratique de plus en plus répandue au sein des moyennes et grandes entreprises. Elle consiste à confier tout ou une partie de la gestion de …

En savoir plus