L’analyse de Nicolas Lacourte, Solution Manager cybersécurité chez NXO
La
directive NIS 2 (Network and Information System Security) représente un jalon
important dans le paysage de la cybersécurité européenne, avec des implications
significatives pour un large éventail d'entités. Pour mieux comprendre ces
changements, examinons de près les nouveautés de la NIS 2 par rapport à son
prédécesseur, la directive NIS 1.
Changements
sémantiques et périmètre d'application
La
directive NIS 2 introduit une terminologie plus large en remplaçant les termes
"opérateurs" et "OSE" par "entités". Cela élargit
le champ d'application de la directive à 35 secteurs d’activité. Si votre
organisation se trouve dans l'un de ces secteurs et que le Chiffre d’affaires
est supérieur à 10M€ ou si le nombre d’employés est supérieur à 50, elle est
concernée par la NIS 2.
Flexibilité
et adaptabilité pour la France
La
France a la possibilité d'ajouter des entités non listées dans les annexes,
basées sur une analyse de risque nationale et d'exclure certaines entités pour
des raisons de défense et de sécurité nationale. Cette flexibilité permet
d'adapter la directive aux spécificités nationales tout en garantissant un
niveau élevé de sécurité. Cette liste définitive sera communiquée dans le
courant de l’année 2024.
Distinction
entre Entités Essentielles et Importantes
La
directive NIS 2 différencie les entités essentielles des entités importantes,
avec des niveaux de contrôle et de sanctions différents. Les entités
essentielles, généralement de grande taille et opérant dans des secteurs
hautement critiques, seront soumises à des contrôles plus stricts et à des
sanctions plus sévères.
Renforcement
des Sanctions et Nouvelles Mesures de Sécurité
La
NIS 2 renforce également les sanctions financières et pénales, introduisant la
responsabilité des directions en cas de manquement à la cybersécurité. Les
sanctions financières peuvent atteindre jusqu'à 2 % du chiffre d'affaires,
reflétant l'ampleur des menaces cybernétiques actuelles.
En
outre, la directive impose dix mesures de sécurité obligatoires, couvrant des
domaines allant de l'analyse des risques à la sécurité de la chaîne
d'approvisionnement. Bien que les détails de ces mesures restent à définir,
leur mise en œuvre sera différenciée entre les entités essentielles et
importantes.
Rôle
Central de l'ANSSI
L'Agence
Nationale de la Sécurité des Systèmes d'Information (ANSSI) joue un rôle
crucial dans la mise en œuvre de la directive NIS 2 en France. En tant
qu'autorité nationale en matière de cybersécurité, l'ANSSI pilote la
transposition en droit national de la directive et assure sa mise en œuvre.
Elle fournira des orientations précieuses et des recommandations pour aider les
organisations à se conformer efficacement aux exigences de la NIS 2.
Clarté
et précision à venir
Bien
que les mesures de sécurité soient encore relativement générales, l'ANSSI
prévoit de publier des règles plus précises avant d'établir un plan définitif
de mise en conformité. Ces directives fourniront des orientations spécifiques
pour aider les organisations à se conformer à la directive NIS 2 de manière
efficace et efficiente.
Conclusion
: préparation et action
En conclusion, la directive NIS 2 marque une avancée significative dans la protection des réseaux et des systèmes d'information en Europe. Pour se conformer à ces nouvelles exigences, les organisations doivent se préparer en analysant attentivement leur situation, en mettant en place des mesures de sécurité appropriées et en restant attentives aux orientations à venir de l'ANSSI.