La directive NIS 2, publiée le 27 décembre 2022, marque une étape significative dans le renforcement de la cybersécurité au sein de l’Union européenne. Cette évolution vise à élargir le champ d’application des exigences de sécurité informatique et de notification des incidents. Le nombre d’entreprises concernées est plus important que pour NIS (Network and Information Security ou Sécurité des réseaux et des systèmes d’information), la version initiale.
Votre entreprise est-elle concernée ?
L’objectif de NIS 2 : renforcer le niveau de cybersécurité en Europe
NIS 1 avait déjà défini des secteurs clés comme les établissements de santé, les banques et les transports. NIS 2 étend ces mesures à de nouveaux secteurs d’activité tels que les administrations publiques, les télécommunications, les plateformes de réseaux sociaux, les services postaux…
Au-delà des secteurs d’activités, NIS 2 prévoit aussi l’extension de son champ d’application aux entreprises privées : des milliers de PME et de grandes entreprises vont être concernées. Le champ exact des entreprises concernées reste encore à confirmer. Pour avoir un premier aperçu, de votre situation au regard de la directive NIS 2, vous pouvez faire le test en ligne .
Ce test sera à renouveler après la transposition de la directive en droit français. En France, c’est l’ANSSI qui pilote cette transposition et qui va formaliser la procédure d’enregistrement des entreprises, collectivités et services publiques devant mettre en place des mesures renforcées de sécurité.
Quelles mesures de cybersécurité sont à mettre en place ?
NIS 2 prévoit un socle de mesures juridiques, techniques et organisationnelles. Son objectif est d’élever le niveau global de cybersécurité par l’application de règles harmonisées.
3 mesures sont à mettre en place :
- Le partage d’information : les entreprises devront transmettre à l’ANSSI des informations et les mettre à jour.
- La gestion des risques cyber : des mesures devront être en place pour gérer les risques sur les réseaux et les systèmes d’information.
- La déclaration d’incidents : les incidents de sécurité seront à signaler à l’ANSSI.
Des précisions seront apportées d’ici octobre 2024 sur la nature des données et des rapports à transmettre et sur les dates à respecter.
La mise en place de NIS 2 est un nouveau défi pour les directions des collectivités et des entreprises. Pour structurer les mesures, la solution est de solliciter un responsable de la sécurité des systèmes d’information (RSSI) en temps partagé.