NIS2, la nouvelle directive européenne visant à renforcer la cybersécurité, arrive à grands pas. Appliquée à partir d’octobre 2024, elle imposera des obligations strictes à de nombreux secteurs, du transport à la santé en passant par le numérique.
Objectif principal : mieux protéger les infrastructures critiques contre les cyberattaques croissantes et sophistiquées.
Concrètement, NIS2 :
- Élargit son champ d’application à de nouveaux secteurs.
- Exige des mesures renforcées en matière de gestion des risques et de notification des incidents.
- Renforce les pouvoirs des autorités pour lutter contre les cybermenaces.
Quels sont les acteurs concernés ? :
- Les grandes entreprises : plus de 250 employés ou un chiffre d’affaires supérieur à 50 millions d’euros.
- Les moyennes entreprises : entre 50 et 250 employés et un chiffre d’affaires entre 10 et 50 millions d’euros.
- Les petites entreprises : moins de 50 employés et un chiffre d’affaires inférieur à 10 millions d’euros.
Quels sont les secteurs concernés ? :
- Secteurs déjà critiques sous NIS 1 : Tous les secteurs considérés comme hautement critiques dans NIS 1 sont maintenus dans NIS 2. Cela signifie que si une entreprise était déjà catégorisée comme OSE sous NIS 1, elle serait automatiquement concernée par NIS 2.
- Secteur spatial : Une nouveauté dans NIS 2 est l’inclusion du secteur spatial, y compris les exploitants d’infrastructures terrestres et les appareils spatiaux.
- Secteur alimentaire : Ce secteur couvre la production, la transformation et la distribution de denrées alimentaires, y compris les coopératives et la grande distribution.
- Secteur de la fabrication : Il englobe la fabrication industrielle, l’équipement, les machines-outils, les moyens de transport et les dispositifs électroniques et optiques.
- Technologies de l’information et de la communication : Une grande nouveauté dans NIS 2 réside dans l’inclusion des plateformes de marché en ligne, y compris les sites e-commerce qui mettent en relation vendeurs et acheteurs, ainsi que les moteurs de recherche et les réseaux sociaux, à condition qu’ils emploient plus de 50 personnes.
- Gestion des déchets et eaux usées : Ce secteur rejoint ceux déjà concernés par NIS 1, comme la gestion de l’eau potable.
- Production et distribution de produits chimiques : Ce secteur a été séparé de la fabrication et est considéré comme un secteur à part, en raison de réglementations spécifiques.
- Administrations locales et régionales : Certaines décisions concernant l’inclusion des administrations locales et régionales sont laissées à la discrétion des États membres, avec une attention particulière aux grandes métropoles et aux communautés de communes.
- Recherche et enseignement supérieur : Les organismes de recherche et les établissements d’enseignement supérieur qui effectuent des activités de recherche critique sont inclus, bien que la définition soit encore à préciser.
- Services essentiels à la santé publique et à la sécurité : Cette catégorie est laissée à la discrétion des États membres et comprend les services dont la perturbation pourrait avoir un impact significatif sur la santé publique, la sûreté et la sécurité.
NIS2 représente un défi mais aussi une opportunité. Il est crucial de s’y préparer dès maintenant pour se conformer à la directive et améliorer sa posture de cybersécurité.
NIS2, un pas de géant vers une Europe plus cyber-résiliente.
Pour en savoir plus :
- Site web de l’ANSSI: https://cyber.gouv.fr/directive-nis-2-ce-qui-va-changer-pour-les-entreprises-et-ladministration-francaises
- Site web de la Commission européenne: https://www.europarl.europa.eu/thinktank/en/document/EPRS_BRI%282021%29689333