Une entrée en vigueur imminente !
– Extension du Périmètre d’application : NIS 2 couvre un plus grand nombre de secteurs et inclut davantage d’entités, les TPE et les PME pouvant être incluses dans la régulation.
– Renforcement des Obligations de Notification : Les délais pour la notification des
incidents sont plus stricts et détaillés en différentes étapes bien précises.
– Responsabilisation des Dirigeants : Les dirigeants des entreprises ont des obligations explicites en matière de gouvernance de la cybersécurité.
– Supervision Renforcée Obligatoire : Introduction de contrôles ex ate et ex post pour les entités des secteurs hautement critiques.
NIS 2 : Un outil législatif du bouclier cyber
La menace cyber ne cesse d’évoluer et de se complexifier comme les dernières actualités l’ont montré. Afin de renforcer le niveau de cybersécurité des pays membres, l’Union Européenne a adopté une série de directives pour se doter d’un véritable « bouclier cyber » dont la directive NIS 2*. Applicable fin octobre 2024, cette directive impose des obligations accrues aux entreprises et administrations pour renforcer leur résilience face aux cyber menaces. Le périmètre d’application de la directive est considérablement élargi (jusqu’à la PME), exigeant un niveau de protection jusqu’alors jamais connu en matière de réglementation cyber.
La Directive distingue 2 types d’entités selon le secteur d’activité : les entités essentielles et les entités importantes.
Toutes deux sont régies pour partie par un socle d’obligations communes et pour l ’autre partie par un régime juridique différencié :
➔ Entités essentielles
11 secteurs d'activités
- Énergie
- Transports
- Secteur bancaire
- Infrastructures des marchés financiers
- Santé
- Eaux potables
- Eaux usées
- Infrastructures numériques
- Gestion des services TIC
- Administrations publiques
- Espace
Sanctions non-conformité :
Amende jusqu’à 10 millions € ou 2 % du CA mondial
Responsabilité pénale du dirigeant
➔ Entités importantes
7 secteurs d'activités
- Services postaux et d’expédition
- Gestion des déchets
- Fabrication, production et distribution de produits chimiques
- Production, transformation et distribution des denrées alimentaires
- Fabrication
- Fournisseurs numériques
- Recherche
Sanctions non-conformité :
Amende jusqu’à 7 millions € ou 1.4 % du CA mondial
Responsabilité pénale du dirigeant
Pour s’assurer de la conformité des entreprises, la directive prévoit des contrôles sur place ou à distance, assuré par un organisme d’état (probablement l’ANSSI, le gendarme de la cybersécurité)
Focus NIS 2 : Etes vous concernés ?
600 types d’entités différentes seront concernés par la directive NIS 2, parmi elle des entreprises allant des PME aux groupes du CAC 40 et des administrations de toutes tailles. Les principaux critères d’éligibilité concernent le secteur d’activité, le nombre d’employés, le chiffre d’affaires réalisé par l’entité et son bilan annuel.
Pour savoir si votre entité est soumise, réalisez le test ci-dessous :
EXCEPTIONS AUX CRITERES DE TAILLE :
Quelle que soit la taille, la directive s’applique impérativement aux organisations opérant dans le secteur des infrastructures numériques et aux administrations publiques (centrale ou régionale). Elles sont d’office considérées comme des entités importantes ou essentielles en raison de la nature de leurs activités.
Se mettre en conformité avec la directive NIS2 impacte tous les niveaux de l’organisation. Elle nécessite l’implication d’acteurs variés et entraine la mise en œuvre de nombreuses mesures opérationnelles, techniques et juridiques.
Petit tour des objectifs & des actions clés à anticiper pour répondre à cette nouvelle réglementation :
Pour se conformer à la directive NIS2, les entreprises doivent adopter une approche globale et proactive de la sécurité des systèmes d’information, en intégrant cette dernière dans leurs processus opérationnels.
Cela assure non seulement une réponse aux exigences réglementaires mais aussi un renforcement de la résilience des entreprises face aux cybermenaces.
Besoin d’informations ou de réaliser un audit de conformité globale, contactez nous !