Qui est concerné et quels changements ?
La directive NIS2 s’inscrit dans un cadre réglementaire étendu visant à renforcer la sécurité numérique sur le marché européen, particulièrement dans les secteurs fortement tributaires des technologies de l’information et de la communication. La nouvelle directive NIS2 élargit son champ d’application par rapport à la directive NIS1, imposant ainsi ses principes à un plus grand nombre d’entités et de secteurs. De manière concrète, la directive NIS 2 continuera de s’appliquer aux domaines déjà touchés par la NIS1 (comme les établissements de santé, les banques et les transports), tout en s’étendant à de nouveaux secteurs d’activité tels que les administrations publiques, les télécommunications, les plateformes de réseaux sociaux, les services postaux, et même le secteur spatial.
Un autre changement majeur réside dans son extension aux entreprises privées. Ainsi, plusieurs milliers d’entreprises, allant des PME aux grandes entreprises du CAC40, devront se conformer aux directives de cette nouvelle régulation.
Enfin, la directive NIS2 apporte une troisième innovation significative : l’intégration d’un mécanisme de proportionnalité, qui différencie deux catégories d’acteurs réglementés en fonction de leur niveau de criticité : les entités essentielles et les entités importantes. L’ANSSI s’appuiera sur cette notion pour établir des exigences spécifiques adaptées à chaque catégorie d’entités.
La directive NIS2 s’adresse aux entreprises de plus de 50 salariés réalisant plus d’un million d’euros de chiffre d’affaires dans les 35 secteurs concernés (contre 19 secteurs pour NIS1). Ces entreprises englobent diverses tailles, allant des PME aux grandes entreprises, et dans certains cas, des collectivités territoriales.
Les secteurs concernés seront ceux couverts par la NIS1 (santé, énergie, transports, secteur bancaire, infrastructures des marchés financiers, approvisionnement en eau potable, eaux usées, infrastructures numériques, fournisseurs de services numériques, administrations publiques et secteur aérospatial.) + extension avec NIS2 aux secteurs : services postaux et d’expédition, gestion des déchets, fabrication, production et distribution de produits chimiques, industrie, agroalimentaire et fournisseurs de services numériques.
Les entreprises concernées seront identifiées dès la publication du décret de transposition de cette directive au niveau national, au plus tard le 17 octobre 2024.
Comment se préparer à l’application de NIS2 ?
L’obligation de se conformer aux exigences de la directive NIS 2 ne sera formellement en vigueur qu’à partir de 2024. En attendant que la directive soit transposée dans la législation française, les opérateurs de services essentiels (OSE) ainsi que les fournisseurs de services numériques doivent continuer de respecter les exigences énoncées dans la NIS1 et les autres réglementations relatives à la sécurité des systèmes d’information.
Vous faites partie des secteurs concernés et vous souhaitez être accompagnés ? Ageris GROUP peut vous aider grâce à ses offres « NIS2 » :
Diagnostic de conformité et analyse d’écart( basé sur NIS1+2 et recommandations de l’ANSSI avec une réactualisation au fil des actualités)
Accompagnement à la mise en place de la gouvernance sécurité et prise en compte des nouvelles exigences NIS2 telles que :
- Sensibilisation des dirigeants
- Mise en place d’un PCA/PRA obligatoire
N’attendez pas pour sensibiliser votre Direction Générale et faites appel à un expert de la formation : Ageris GROUP, organisme de formation certifié QUALIOPI. C’est maintenant qu’il faut agir pour anticiper NIS2.
Pour en savoir plus sur ce sujet, rendez-vous sur le site de l’ANSSI : https://cyber.gouv.fr/la-directive-nis-2