>
La Directive NIS2 constitue un tournant majeur pour la cybersécurité. Conçue pour muscler la sécurité numérique au sein de l’Union européenne, NIS2 a pour objectif de renforcer la résilience et la sécurité des infrastructures numériques.
Pour cela, NIS2 élargi le champ d’application de NIS1, qui ne couvrait que les secteurs d’activité dits essentiels et ne prévoyait pas de mesures suffisamment contraignantes.
Quelles sont les entreprises concernées ?
La directive concerne 18 secteurs d’activité (contre 7 en NIS1) répartis en Entités Essentielles et Entités importantes selon le métier et le nombre de salariés ou le chiffre d’affaires annuel.
Il est prévu qu’elle concerne 10 000 à 30 000 entités en France (quand NIS1 ne concernait que 300 opérateurs).
Entités Essentielles vs Entités Importantes :
- Entités essentielles (EE) : Ce sont les entreprises les plus critiques pour le fonctionnement de la société. Elles sont identifiées en fonction de leur importance systémique et de leur impact potentiel en cas de cyberattaque
- Entités importantes (EI) : Ces entités, bien qu’un peu moins critiques que les EE, jouent un rôle significatif dans leur secteur. En plus d’entrer dans une des activités concernées, elles sont généralement identifiées en fonction de leur taille (plus de 50 employés), de leur chiffre d’affaires (supérieur à 10 millions d’euros) et de leur importance pour la continuité des services essentiels.
Les critères précis pour déterminer si une entité est considérée comme essentielle ou importante peuvent varier d’un pays à l’autre. La transposition de la directive NIS2 dans le droit national de chaque État membre permettra d’affiner ces critères.
Les obligations découlant de NIS2 :
Les entités Essentielles et Importantes vont devoir mettre en œuvre, pour leur sécurité numérique, de la gouvernance, des mesures de protection et de défense et organiser concrètement la résilience de leurs réseaux et systèmes d’information face aux risques cyber.
La déclaration des incidents de sécurité importants devient obligatoire sous 24h et un rapport complet est à transmettre dans le mois.
Les Entités Essentielles ont des obligations renforcées en termes de gestion de risque, de solutions de protection, d’entrainement et de gestion de crise.
Où en est la mise en œuvre ?
La dissolution de l’Assemblée nationale en juin dernier a mis un coup d’arrêt aux discussions autour du projet de loi. Ce mercredi 17 octobre 2024, le texte est passé en Conseil des Ministres et sera discuté au Parlement prochainement (aucune date n’a été fixée).
