La directive NIS 2, parue au Journal Officiel de l'Union européenne en décembre 2022, marque une avancée majeure dans la lutte contre la menace cyber. Cette directive, succédant à la NIS 1, incarne un tournant crucial tant au niveau national qu'européen. Face à une menace cyber grandissante et des systèmes d'information partiellement vulnérables, NIS 2 s'attaque à ces défis en élargissant ses objectifs et son champ d'application. Cette extension sans précédent en termes de réglementation cyber vise à renforcer la résilience et la réponse aux incidents pour les entités publiques et privées.
La directive NIS 2, entrée en vigueur en janvier 2023, impose à un nombre accru d'entreprises d'améliorer leurs dispositifs de sécurité face à des cyberattaques en constante évolution. Cette directive vise à harmoniser la maturité en matière de protection des systèmes informatisés dans l'Union européenne, et les États membres doivent l'intégrer dans leurs législations nationales d'ici septembre 2024. La directive NIS 2 cible un plus large éventail d'entités et de secteurs que la version précédente, incluant désormais les administrations publiques, les télécommunications, les réseaux sociaux, et même le secteur spatial. Elle introduit également un mécanisme de proportionnalité, distinguant les entités essentielles des entités importantes, pour lesquelles des exigences spécifiques seront établies.
La directive NIS2 s'adresse principalement aux entreprises de plus de 50 employés et réalisant plus d'un million d'euros de chiffre d'affaires dans les secteurs concernés. La NIS2 régule désormais 35 secteurs d'activité, étendant sa portée aux domaines tels que les services postaux, la gestion des déchets, l'agroalimentaire, ou encore les fournisseurs de services numériques. Les entreprises sont classées en deux catégories selon leur importance stratégique : les entités essentielles et les entités importantes. Cette distinction a pour but d'optimiser la répartition des responsabilités en matière de sécurité informatique.
Dans une démarche de renforcement global de la sécurité, les sous-traitants sont désormais inclus dans la directive NIS 2. Cette mesure vise à pallier les vulnérabilités de la chaîne d'approvisionnement, souvent exploitées lors des cyberattaques. En exigeant que les sous-traitants respectent des normes de cybersécurité strictes, la directive contribue à sécuriser l'écosystème numérique dans son ensemble.
Avec une échéance fixée au 17 octobre 2024 pour sa transposition nationale, les entreprises françaises doivent se préparer à intégrer les exigences de la NIS 2. Bien que les détails de l'assistance financière ne soient pas encore clairement définis, l'ANSSI en France bénéficie déjà d'un budget conséquent dans le cadre du fonds France Relance pour soutenir les initiatives de cybersécurité. Les entreprises doivent dès à présent évaluer leur niveau de maturité en matière de cybersécurité et commencer à élaborer des stratégies pour se conformer aux nouvelles réglementations.
Préiso peut vous aider à prendre en compte les exigences de la directive NIS 2 et vous accompagner dans la mise en place d’un système de management de la sécurité de l’information selon la norme ISO 27001.