Adoptée par l’ensemble de l’Union européenne, la directive NIS2 vise à renforcer la résilience des entreprises face aux cas de cyberattaque. Elle impose de nouvelles obligations en matière de cybersécurité, en exigeant un niveau élevé commun de protection des systèmes d’information. En France, c’est l’ANSSI (agence nationale de la sécurité des systèmes d’information) qui sera chargée de superviser sa mise en œuvre. Cette réglementation élargit le périmètre des entités couvertes par la directive NIS1 et impose des nouvelles obligations en matière de gestion des incidents et risques, de signalement des incidents et de résilience des infrastructures critiques.
Réglementation : La directive NIS2
Quelles seront les obligations imposées par la directive NIS2 en France ?
La directive NIS2 renforce les obligations des entreprises en matière de cybersécurité, en imposant des mesures strictes pour améliorer la résilience des systèmes d’information face aux cybermenaces. Parmi les exigences de la directive, les entreprises devront réaliser notamment une analyse de risque approfondie, définir et appliquer une politique de sécurité adaptée, mettre en place des procédures rigoureuses de gestion des incidents…
En cas d’attaque, la directive impose également une notification obligatoire des incidents auprès du CSIRT (Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques) dans un délai défini. Ces obligations visent à harmoniser la cybersécurité au sein de l’Union européenne et à garantir un niveau de protection renforcé pour les secteurs les plus critiques.
Quand est-ce que la directive européenne NIS2 sera effective ? Une date pour 2024 ou 2025 ?
Adoptée par l’ensemble de l’Union européenne, la directive NIS2 devait initialement entrer en vigueur en France en octobre dernier. Cependant, en raison de la dissolution de l’Assemblée nationale, sa mise en application a pris du retard. Chaque État membre est responsable de transposer cette directive dans son droit national, et en France, c’est l’ANSSI qui pilote cette mise en conformité en matière de cybersécurité.
À ce jour, l’entrée en vigueur de la directive NIS2 est prévue pour courant 2025, bien qu’aucune date précise n’ait encore été officiellement annoncée. Les entreprises concernées doivent donc anticiper dès maintenant les nouvelles obligations pour se conformer aux exigences de la directive.
Qui est concerné par le projet de loi de l'Europe, NIS2 ?
La directive NIS2 élargit son champ d’application, touchant un plus grand nombre d’organisations à travers l’ensemble de l’Union européenne. Elle impose des obligations aux entreprises stratégiques selon leur taille, leur secteur d’activité, leur chiffre d’affaires annuel, leur nombre d’employés, ainsi que leur bilan annuel.
Les entreprises concernées sont classées en deux catégories les entités essentielles et les entités importantes :
-
Les entités essentielles (EE) : Vous êtes une EE si vous comptez au moins 250 employés, ou que vous réalisez un chiffre d’affaires supérieur ou égal à 50 millions d’euros ou un bilan annuel égal ou supérieur à 43 millions d’euros et que vous exercez dans des secteurs d’activités hautement critiques comme l’énergie, le transport, la banque, les infrastructures numériques, la santé, les eaux potables, la gestion des services TIC, l’administration publique ou encore l’espace.
-
Les entités importantes (EI) : Vous êtes une EI si vous comptez au moins 50 employés, que votre chiffre d’affaire annuel est égal ou supérieur à 10 millions d’euros ou que votre bilan annuel est d’au moins 10 millions d’euros et que vous travaillez dans des secteurs d’activités critiques comme la gestion des déchets, la fabrication et distribution de produits chimiques, l’industrie alimentaire, la fabrication d’équipements électriques, de dispositifs médicaux ou de véhicules automobiles, ainsi que la recherche et les services numériques. Vous êtes également une EI si vous avez entre 50 et 250 employés, ou que vous réalisez un chiffre d’affaires entre 10 et 50 millions d’euros, ou que votre bilan annuel est compris entre 10 et 43 millions d’euros et que vous opérez dans des secteurs d’activités hautement critiques.
En France, c’est l’ANSSI qui sera en charge de la supervision et de l’application de la directive, assurant que les entreprises concernées adoptent les mesures de sécurité nécessaires pour se conformer aux exigences de NIS2 et renforcer leur cybersécurité.
Quoi faire pour sécuriser votre entreprise ?
La norme ISO 27001
Avec l’entrée en vigueur de la nouvelle directive NIS2, les entités essentielles et entités importantes doivent renforcer leur cybersécurité pour se conformer aux nouvelles obligations. Obtenir la certification ISO 27001 constitue une réponse efficace à ces exigences, en offrant un cadre structuré pour protéger les informations sensibles et assurer une meilleure gestion des incidents. Cette norme permet aux organisations de sécuriser leurs infrastructures tout en optimisant leurs processus de contrôle et de surveillance. Plus qu’une simple conformité, elle représente un véritable atout pour renforcer la résilience face aux cybermenaces et répondre aux attentes de NIS2.
En savoir plus sur la certification ISO 27001
Conseil et Audit
L’audit et le conseil cyber sont des étapes essentielles pour amorcer la mise en conformité avec la directive NIS2. L’audit permet d’évaluer la sécurité des systèmes d’information, d’identifier les vulnérabilités et de mesurer les écarts par rapport aux exigences réglementaires. Couplé à un conseil cyber, il aide les entreprises à définir une stratégie adaptée en proposant des recommandations claires et des actions prioritaires.
Cette approche permet d’aider les organisations à se préparer efficacement aux nouvelles obligations et à réduire leur exposition aux cybermenaces. Cette méthode constitue ainsi une base solide pour sécuriser vos infrastructures et assurer votre conformité avec NIS2.
En savoir plus sur l'audit cybersécurité
N'hésitez pas à nous contacter pour en savoir plus
Contactez-nous