Publiée au Journal Officiel de l’Union européenne en décembre 2022, la directive NIS 2 (Network and Information Security) vise à accroître la résilience de l’Europe face aux menaces cyber actuelles et futures. Découvrez les principaux apports de cette directive et les obligations pour les entreprises.
Les apports de la directive NIS 2
- Objectifs élargis
La directive NIS 2 marque un tournant en matière de cybersécurité. Pour faire face à des acteurs malveillants toujours plus performants, elle étend ses objectifs et son champ d’application afin d’offrir une protection accrue.
- Coopération renforcée
La directive NIS 2 encourage les États membres à renforcer leur collaboration en matière de gestion de crise cyber. Elle officialise notamment le réseau CyCLONe (Cyber Crisis Liaison Organisation Network), qui réunit l’ANSSI et ses homologues européens.
- Nouvelles exigences
La directive NIS 2 introduit de nouvelles exigences dans quatre domaines clés pour les entreprises : gestion de la cybersécurité, la déclaration aux autorités, la gestion des risques et la continuité des activités.
Les principales obligations pour les entreprises
- Gestion de la cybersécurité
Les entreprises doivent mettre en place des mesures de sécurité pour protéger leurs systèmes et réseaux contre les cyberattaques. Elles doivent également identifier et évaluer les risques liés à la sécurité de l’information et mettre en œuvre des mesures appropriées pour les atténuer.
- Déclaration aux autorités
En cas d’incident de sécurité majeur, les entreprises doivent signaler l’incident aux autorités compétentes dans un délai spécifié.
- Gestion des risques
Les entreprises doivent élaborer et mettre en œuvre des politiques de gestion des risques liés à la cybersécurité. Elles doivent surveiller en permanence les menaces et les vulnérabilités et prendre des mesures pour les contrer.
- Continuité des activités
Les entreprises doivent garantir la continuité de leurs activités en cas d’incident de sécurité. Elles doivent élaborer des plans de continuité des activités et des plans de reprise après sinistre.
- Coopération avec les autorités et autres entités
Les entreprises doivent coopérer avec les autorités nationales de cybersécurité et d’autres entités concernées pour renforcer la sécurité de l’information à l’échelle de l’UE.
Autres changements
- Fin de la classification OSE et FSN
La directive NIS 2 met fin à la classification des Opérateurs de Services Essentiels (OSE) et des Fournisseurs de Services Numériques (FSN). Elle introduit plutôt des régimes distincts pour les entités essentielles et les entités importantes.
- Un champ d’application élargi
La directive NIS 2 s’applique à un plus grand nombre de secteurs, notamment les fournisseurs de services gérés (services externalisés), les plateformes de médias sociaux, les gestionnaires de déchets, les fabricants de dispositifs médicaux, les services postaux, l’industrie alimentaire, le secteur spatial (lanceurs de fusées, pas de stockage), la distribution chimique et les services d’administration publique.
- Des sanctions financières dissuasives
La directive NIS 2 instaure une responsabilité des organes de direction des entités concernées. Les dirigeants devront veiller à la mise en œuvre des mesures de cybersécurité et à la gestion des risques. En cas de non-conformité, les amendes peuvent être significatives :
Pour les entités essentielles, elles peuvent atteindre 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial, selon le montant le plus élevé.
Pour les entités importantes, les amendes peuvent aller jusqu’à 7 millions d’euros ou 1,4 % du chiffre d’affaires annuel mondial.
- Rôle renforcé de l’ANSSI
L’Agence nationale de la sécurité des systèmes d’information (ANSSI) sera le régulateur chargé de mettre en œuvre des contrôles et de prononcer des sanctions.
