En 2016, l’Union européenne a adopté la directive “Network and Information Security” (NIS) pour renforcer la cybersécurité des acteurs majeurs de dix secteurs d’activité. La directive NIS 2, adoptée en décembre 2022, va plus loin en élargissant le périmètre d’applicabilité à plus de dix-huit secteurs et en distinguant deux catégories d’entités régulées en fonction de leur niveau de criticité : les entités essentielles et les entités importantes. L’Agence nationale de la sécurité des systèmes d’information (ANSSI) sera chargée de définir des exigences adaptées et proportionnées aux enjeux de chacune de ces catégories.
NIS 2 représente une opportunité unique pour des milliers d’entités de mieux se protéger et pour renforcer la coopération entre les États membres en matière de gestion de crise cyber. Les acteurs de la chaîne d’approvisionnement, les administrations centrales des États-membres et certaines collectivités territoriales seront également concernés.
La directive entrera en vigueur en France au deuxième semestre 2024, mais l’ANSSI conseille aux entités de se préparer dès maintenant en se basant sur les exigences de NIS 1. L’ANSSI continuera à accompagner les entités concernées et communiquera régulièrement sur le sujet tout au long de la transposition à l’échelle nationale.
La directive NIS 2 marque une nouvelle étape dans la sécurité numérique de l’Union européenne et représente une opportunité unique pour les entités régulées de mieux se protéger face à la menace croissante des cyberattaques.
Qui est concerné par la Directive NIS 2 ?
La Directive NIS 2 concerne les entités privées ou publiques qui fournissent des services ou exercent leur activité au sein de l’Union Européenne dans l’un des 35 secteurs listés aux annexes I et II de la Directive. Les entreprises qui emploient plus de 250 personnes et ont un chiffre d’affaires annuel supérieur à 50 millions d’euros sont également concernées, ainsi que les fournisseurs de réseaux de communications électroniques publics. Environ 600 entités seront concernées en France.
Les entités concernées peuvent être qualifiées soit d’entités essentielles (EE) soit d’entités importantes (EI) selon leur secteur d’activité et leur taille, avec des exigences de sécurité adaptées et proportionnées à chaque catégorie. Les obligations imposées incluent des mesures de sécurité minimales, une obligation de notification en cas d’incidents qualifiés d’importants, une obligation de démontrer le respect des obligations (accountability) et des mesures de supervision renforcées pour les EE.
Le non-respect des obligations peut entraîner des amendes administratives pouvant atteindre 10 millions d’euros ou 2% du chiffre d’affaires annuel mondial pour les EE, et 7 millions d’euros ou 1,4% du chiffre d’affaires annuel mondial pour les EI.
Les entreprises doivent donc se mettre en conformité en évaluant leur conformité actuelle, en comblant les lacunes, en évaluant la conformité de leurs sous-traitants, en formant leurs employés sur la cybersécurité, en surveillant et examinant régulièrement les mesures applicables et en étant capables de notifier les autorités en cas d’incident. Les recommandations de l’ANSSI et son guide de la cybersécurité pour les TME/PME en 13 questions peuvent aider les entreprises à se mettre en conformité. Les entreprises doivent établir un rétro planning d’initiatives et de mise en conformité pour être conformes d’ici fin 2024.
La liste des secteurs concernés augmente considérablement avec une distinction :
- Les secteurs « hautement critiques » sont identifiés dans l’annexe 1 : énergie, transports, secteur bancaire, infrastructures des marchés financiers, santé, eau potable, eaux usées, infrastructures numériques, gestion des services TIC, administrations publiques, espace.
- Les « autres secteurs critiques » sont identifiés dans l’annexe 2 : services postaux et d’expédition, gestion des déchets, fabrication, production et distribution de produits chimiques, production, transformation et distribution des denrées alimentaires, fabrication, fournisseurs numériques, recherche.
- les Entités Essentielles (EE), détaillées dans l’Annexe I du texte NIS2
- les Entités Importantes (IE), détaillées dans l’Annexe II du texte NIS2