NIS2 : quels changements attendus et comment s’y préparer ?

La directive NIS2 (Network and Information Security 2), visant à renforcer et à uniformiser la cybersécurité du marché européen, a été adoptée en janvier 2023. Elle entrera en application obligatoire d’ici au 17 octobre 2024.

Quelles entreprises sont concernées, quels changements sont attendus et comment vous y préparer ? Faisons le point.

La directive NIS1, adoptée en juillet 2016, couvrait seulement les établissements de santé, les banques, les transports, les institutions financières, les acteurs de l’énergie et les réseaux d’eau.

En plus des secteurs couverts par NIS1, la directive NIS2 élargit son périmètre d’application aux entités importantes (EI) et aux entités essentielles (EE), qui sont des acteurs clés dans divers secteurs économiques et sociaux.

• Les entités importantes sont des organisations qui fournissent des services essentiels pour le maintien de fonctions sociétales et économiques critiques, telles que les services de santé, les services financiers, les services d’énergie, les transports, les services postaux…
• Les entités essentielles, quant à elles, sont des opérateurs de services numériques qui fournissent des services en ligne tels que les moteurs de recherche, les places de marché en ligne, les services de cloud computing, les réseaux sociaux…

La directive NIS2 ne prend pas en compte les petites et moyennes entreprises, à l’exception de certaines situations particulières dépendant de l’importance du service offert.

À partir du 17 octobre 2024, toutes les entités concernées par la NIS2 seront dans l’obligation de respecter de nouvelles obligations, elles devront notamment :

• Prévenir l’ANSSI sous 24h lors d’un incident cyber, avec un rapport préliminaire qui devra être complété par un rapport final dans un délai d’un mois.
• Mener régulièrement des audits de sécurité (notamment des pentests), afin de mesurer l’efficacité des moyens de sécurité mis en place et leur pérennité.
• Sécuriser leurs réseaux et leur SI, en utilisant des techniques de chiffrement des données, de contrôle des accès aux systèmes et des solutions d’authentification à plusieurs facteurs.
• Former les équipes et les décideurs aux bonnes pratiques
• Mettre en place des mesures pour garantir la continuité de leurs activités en cas d’incident (par exemple en instaurant une bonne gestion des sauvegardes).

Si votre entreprise ne respecte pas la directive NIS2, elle s’expose à des sanctions financières sévères. Celles-ci peuvent prendre la forme d’amendes substantielles, pouvant atteindre 10 millions d’euros ou 2 % du chiffre d’affaires annuel global pour les entités essentielles, et 7 millions d’euros ou 1,4 % du chiffre d’affaires annuel global pour les entités importantes.

Des mesures administratives peuvent également être prises, telles que des avertissements, des injonctions de mise en conformité, des suspensions d’activité ou des retraits d’autorisations.

Enfin, des injonctions judiciaires peuvent être émises, obligeant l’entreprise à se conformer à la directive par le biais de mesures légales spécifiques. La responsabilité pénale des dirigeants est alors engagée.

Pour commencer, vous pouvez vous rendre sur le simulateur mis en place par le gouvernement, pour savoir si votre entreprise est concernée ou non par cette nouvelle directive et à quelle catégorie elle appartient.

Si votre entreprise est concernée, nous vous conseillons d’agir dès maintenant, en commençant par un audit cyber complet. Il vous donnera un état des lieux précis. Cette cartographie permettra la mise en place de mesures de sécurités adéquates pour durcir votre protection. Sans oublier la sensibilisation et la formation de toutes vos équipes aux bonnes pratiques.