NIS2

NIS2 est la directive européenne (UE 2022/2555) qui renforce et harmonise la cybersécurité dans l’Union. Elle remplace la première directive NIS de 2016 et élargit massivement le périmètre des organisations soumises à des obligations de sécurité, en les classant en entités essentielles et entités importantes.

Définition

NIS2 (Network and Information Security 2) fixe un socle commun d’exigences en matière de gestion des risques, de notification d’incidents et de gouvernance de la cybersécurité. Là où la première directive ne visait qu’un nombre restreint d’opérateurs, NIS2 étend le champ à de nombreux secteurs et à des milliers d’entités, de l’ETI à la PME.

Qui est concerné ?

Une organisation entre généralement dans le périmètre si elle opère dans l’un des secteurs visés par la directive et qu’elle compte au moins 50 salariés ou réalise plus de 10 millions d’euros de chiffre d’affaires. Certaines entités sont concernées quelle que soit leur taille, par exemple les fournisseurs de services DNS ou les registres de noms de domaine. En France, l’ANSSI est l’autorité de référence et propose l’outil d’autoévaluation MonEspaceNIS2.
Deux catégories d’entités :
les entités essentielles (EE), dans les secteurs les plus critiques, soumises aux exigences les plus strictes,
les entités importantes (EI), aux obligations allégées par rapport aux EE mais réelles.

Les principales obligations

Politiques d’analyse des risques, mesures techniques et organisationnelles de sécurité, continuité d’activité et sauvegardes, sécurité de la chaîne d’approvisionnement, formation et implication de la direction, et surtout notification rapide des incidents majeurs à l’autorité compétente.

Les sanctions

Les manquements exposent à des amendes lourdes : jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires mondial pour les entités essentielles, jusqu’à 7 millions d’euros ou 1,4 % pour les entités importantes. La responsabilité des dirigeants peut être engagée.

Que faire dès maintenant ?

L’ANSSI encourage les organisations à anticiper sans attendre l’échéance finale. La première étape est un diagnostic des écarts entre vos pratiques actuelles et les exigences attendues, suivi d’un plan de mise en conformité priorisé.

Vous voulez savoir où vous en êtes face à NIS2 ?
Nous réalisons un audit de cybersécurité et un diagnostic d’écarts pour préparer votre conformité.