La Directive NIS 2 (Network and Information Systems Directive) a été adoptée par le Parlement Européen le 10 novembre 2022. Sa date butoir d’application est le 17 octobre 2024.

1. Qu’est-ce que la directive NIS2 ?

Cette réglementation permet d’encadrer les entreprises et de les aider à se protéger contre les cybermenaces mais surtout d’assurer la résilience de leur système d’information et au-delà, de garantir leur mission de service public auprès des populations et entreprises. 

La directive NIS 2 est le prolongement de la directive NIS adoptée en juillet 2016, transposée en France en 2018. Conçue comme un bouclier législatif au niveau Européen, cette directive dans sa première version a eu pour but de définir un niveau d’exigence commun et relatif à la « sécurité des réseaux et systèmes d’information des opérateurs de services essentiels et des fournisseurs de service numérique » (Décret n° 2018-384 du 23 mai 2018) dont l’interruption pourrait impacter significativement le fonctionnement de l’économie ou de la société. C’est au travers de cette transposition nationale que le statut d’opérateur de services essentiels (OSE) vient compléter le statut d’opérateur d’importance vital (OIV) établi par la loi de programmation militaire de 2013.

Dans le but de renforcer cette première version et d’étendre le niveau d’exigence à de nouveaux acteurs, la directive NIS 2 a été adoptée le 10 novembre 2022 et est en cours de transposition dans les états.

Elle définit de manière plus précise l’obligation de notification aux autorités compétentes en cas d’incident de sécurité et supprime le statut d’OSE pour le remplacer par deux nouvelles typologies d’organisations : les entités essentielles (EE) et les entités importantes (EI). Dernière nouveauté et non des moindres, NIS 2 intègre les entreprises de sous-traitance et dans certains cas les collectivités territoriales à la liste des acteurs concernés.

2. Quelle est la date butoir de mise en application ?

Adoptée le 10 novembre 2022 par le Parlement Européen. Publiée au Journal Officiel de l’Union Européenne le 27 décembre 2022. Les États membres disposent de 21 mois pour établir la transposition de la réglementation au sein de leur droit national avec une date butoir au 17 octobre 2024.

3. À quel type d’entreprise et à quels secteurs d’activité s’adresse la NIS2 ?

Aux entreprises de plus de 50 salariés réalisant plus d’un million d’euros de chiffre d’affaires dans les secteurs concernés. Ces entreprises peuvent être des PME, grandes entreprises ou dans certains cas des collectivités territoriales.

Les 19 secteurs de NIS 1 sont : Les secteurs de la santé, de l’énergie, des transports, le secteur bancaire, les infrastructures des marchés financiers, le secteur de l’eau potable, des eaux usées, les infrastructures numériques, les fournisseurs de services numériques, les administrations publiques, le secteur aérospatial.

À cela, NIS 2 complète par les secteurs suivants : Le secteur des services postaux et d’expédition, le secteur de la gestion des déchets, le secteur de la fabrication, de la production et distribution de produits chimiques, le secteur de l’industrie, le secteur agroalimentaire, les fournisseurs de services numériques.

4. Pourquoi cette directive est-elle stratégique pour ADITU ?

Cette directive renforce le caractère proactif que doivent prendre les entreprises en matière de cybersécurité. En donnant un cadre juridique à cette approche, NIS 2 permet de relever le niveau de sécurité et d’organiser la résilience des infrastructures critiques à l’échelle européenne.

Dorénavant, un manque budgétaire, une infrastructure vieillissante ou un manque d’anticipation ne seront plus des excuses face aux pénalités que NIS 2 introduit. La réalité de la menace cyber aujourd’hui est qu’elle est une épée de Damoclès pour toutes entreprises et que seule la maitrise de la protection de ses données permet d’organiser la résilience et la bonne continuité d’activité critique.

Les solutions de protection, sauvegardes, télé-sauvegardes et de continuité d’activité proposées par ADITU sont la garantie stratégique de conformité face à NIS 2 et au-delà, des menaces cyber. ANTICIPEZ !

5. Quelle est la différence entre une entreprise dite « entité essentielle » et une entreprise dite « entité importante » ?

Les entreprises essentielles et importantes sont des entreprises faisant partie des 35 secteurs concernés qui ont en charge une infrastructure dont l’arrêt aurait un impact significatif pour l’économie et le fonctionnement du pays. Sauf cas particulier, les ETI et grandes entreprises faisant partie de la liste des opérateurs de services essentiels (OSE) seront catégorisées comme entités essentielles.

Il existe trois niveaux de difficulté dans l’implémentation des exigences réglementaires de cette directive :

• manque de ressources internes pour appliquer les mesures de sécurité et s’assurer de leur pleine conformité ;
• une difficulté de compréhension de la réglementation notamment du fait des délais imposés dans la déclaration des incidents de sécurité auprès des autorités compétentes ;
• coût élevé des investissements à mettre en œuvre dans des produits de cybersécurité pour se conformer.

7. Quelles sont les sanctions en cas de non-conformité à la NIS2 ?

Pour les entreprises non coopérantes ou en faute, la Directive Européenne prévoit des sanctions. La Directive NIS 2 offre un droit d’injonction aux États membres rencontrant un cas d’incident de sécurité et un refus de collaboration avec les autorités. Ces sanctions peuvent prendre différentes formes telles que des amendes dont le montant peut atteindre 10 millions d’euros du chiffre d’affaires total annuel de l’organisation mais également des sanctions pénales et des mesures de réparation.

⇒ Vous êtes une entreprise, un acteur de Santé ? Vous souhaitez être accompagné pour être en conformité avec la NIS2 ? Demandez votre visite sur site afin que l’on vous propose la solution la mieux adaptée à vos besoins. Contactez nous au 09 80 50 50 50.