NIS2 : tour d’horizon des changements attendus

La directive NIS2 (Network and Information Security 2), visant à renforcer la cybersécurité du marché européen, adoptée en janvier 2023, sera d’application obligatoire d’ici le 18 octobre 2024. Alors quels changements va-t-elle entrainer et qui sera concerné ?

La directive NIS1, adoptée en juillet 2016, couvrait seulement les établissements de santé, les banques, les transports, les institutions financières, les acteurs de l’énergie et les réseaux d’eau.

La NIS2 élargit son périmètre d’application et concerne également : les plateformes de réseaux sociaux, les administrations publiques, les télécommunications, les services postaux, le secteur spatial, l’alimentation et les fabricants de produits chimiques et pharmaceutiques, qui devront aussi mettre en pratique les règles imposées par la directive.

La nouveauté la plus importante de la NIS2 est qu’elle s’applique aux entreprises, et donc au secteur privé. L’élargissement d’application de cette directive entrainera donc l’obligation du respect de ses règles par des milliers d’entités, de toutes tailles, appartenant à 18 secteurs différents, dont l’ajout de plus de 6000 entités concernées en France.

Avec NIS2, les sous-traitants et prestataires ayant un accès à une infrastructure, comme les ESN, sont par ailleurs soumis à toutes les obligations de la directive.

Pour avoir une idée plus précise des entreprises concernées par l’élargissement, vous pouvez consulter les annexes 1 et 2 de la directive (UE) 2022/2025.

À partir du 18 octobre 2024, toutes les entités concernées par la NIS2 seront dans l’obligation de respecter de nouvelles obligations, elles devront notamment :

• Prévenir l’ANSSI sous 24h lors d’un incident cyber, avec un rapport préliminaire qui devra être complété par un rapport final dans un délai d’un mois.
• Mener régulièrement des audits de sécurité (notamment des pentests), afin de mesurer l’efficacité des moyens de sécurité mis en place et leur pérennité.
• Impliquer le corps managérial dans les processus de validation des mesures cyber, et renforcer la formation des décideurs à la gestion des risques.
• Mettre en place des mesures pour garantir la continuité de leurs activités en cas d’incident (par exemple en instaurant une bonne gestion des sauvegardes).
• Utiliser des techniques de chiffrement des données, afin de mieux les protéger.

Les sanctions en cas de non-respect de ces obligations pourront aller de la réalisation d’un audit de sécurité et de mise en conformité, jusqu’à l’amende administrative.