En 2016 était adopté par le Parlement Européen, la directive NIS1.
La directive NIS 2 s’appuie sur les acquis de la directive NIS 1 pour marquer un changement de paradigme, tant à l’échelon national qu’à l’échelon européen. Face à des acteurs malveillants toujours plus performants et mieux outillés, touchant de plus en plus d’entités trop souvent mal protégées, la directive NIS 2 élargit en effet ses objectifs et son périmètre d’application pour apporter davantage de protection. Cette extension du périmètre prévue par NIS 2 est sans précédent en matière de réglementation cyber.
Pourquoi ?
Alors que la menace cyber augmente et que les systèmes d’information restent pour partie vulnérables, la directive NIS 2 représente une opportunité unique : sa mise en application va permettre à des milliers d’entités de mieux se protéger. Elle va être l’occasion de mobiliser largement le tissu économique national et le secteur public. Elle amène aussi les Etats membres à renforcer leur coopération en matière de gestion de crise cyber, en donnant notamment un cadre formel au réseau CyCLONe qui rassemble l’ANSSI et ses homologues européens
Quel objectif ?
Selon le « Panorama de la cybermenace 2022 » de l’ANSSI, plus de 60 % des attaques qui sont remontées à l’ANSSI concernent des petites structures (PME/TPE/ETI et collectivités territoriales). L’ANSSI observe également une évolution des attaques qui ciblent désormais les chaînes de sous-traitance pour se rapprocher de leurs clients finaux. Promouvoir la sécurité numérique auprès d’entités ne disposant pas d’expertise en la matière et leur permettre de mettre en place les mesures de protection de base face à la cybercriminalité sont donc des enjeux essentiels du dispositif NIS 2.
Quand ?
La directive NIS 2 a été publiée le 27 décembre 2022 au Journal Officiel de l’Union européenne et elle prévoit un délai de 21 mois pour que chaque Etat membre transpose en droit national les différentes exigences réglementaires. NIS 2 rentrera donc en vigueur en France au plus tard en Octobre 2024. Il est utile de préciser que la date d’entrée en vigueur ne correspond pas à la date d’application de l’ensemble des exigences réglementaires qui seront imposées aux entités régulées : certaines exigences seront d’application directe et d’autres seront soumises à un délai de mise en conformité.
Suis-Je concerné ?
A ce jour, la directive NIS 2 comprend des annexes 1 et 2 dans lesquelles il est indiqué les secteurs, sous-secteurs et les types d’entité concernés. Si votre entité se retrouve dans un des secteurs, sous-secteur et type d’entité et que vous respectez les critères de taille alors vous serez concerné par la directive NIS 2. En revanche, si vous ne retrouvez pas, à première vue, l’une des activités de votre entité dans ces annexes, alors les consultations sur le périmètre permettront d’obtenir des éléments complémentaires. En effet, certaines définitions présentes dans les annexes nécessitent de clarifier la portée de la directive. Ces consultations se feront avec les ministères de tutelle mais aussi avec les fédérations professionnelles des secteurs d’activité pour les acteurs économiques. Des consultations seront également effectuées avec les associations et les représentants d’élus pour les collectivités territoriales. Nous pensons par exemple au secteur de l’alimentation pour lequel la définition de la « distribution en gros » reste encore à clarifier.
Les secteurs concernés
En résumé :
Cette directive à pour but de poser les fondamentaux en termes de protection contre la cybercriminalité, qui s’étend de plus en plus. MFA, anti-virus, Anti-spam, sauvegardes et PRA, sont parmi les éléments qui devront constituer les minimas des protections des entreprises.
Cette directive qui sera transcrite dans la loi Française au plus tard en Octobre 2024, servira de base de contrôle pour que chaque société se protège de manière suffisante.
Les informations sont disponibles sur le site de l’ANSSI.
Nobelia accompagne ses clients pour la mise en conformité, mais également au quotidien, pour toutes les questions de sécurité.