NIS 2

La directive NIS 2, qui s’appuie sur les acquis de la directive NIS 1, marque un changement de paradigme, tant à l’échelon national qu’à l’échelon européen. Face à des acteurs malveillants toujours plus performants et mieux outillés, touchant de plus en plus d’entités trop souvent mal protégées, la directive NIS 2 élargit en effet ses objectifs et son périmètre d’application pour apporter davantage de protection. Cette extension du périmètre prévue par NIS 2 est sans précédent en matière de réglementation cyber. Elle amène aussi les Etats membres à renforcer leur coopération en matière de gestion de crise cyber, en donnant notamment un cadre formel au réseau CyCLONe (Cyber Crisis Liaison Organisation Network) qui rassemble l’ANSSI et ses homologues européens.

Source : cyber.gouv.fr

Qu’est-ce que NIS 2 ?

La directive NIS 2 (en français : sécurité des réseaux et des systèmes d’Information) vise à renforcer le niveau de cybersécurité des tissus économique et administratif des pays membres de l’UE.

L’enjeu est de mieux protéger les réseaux et les systèmes d’information servant à fournir des services essentiels dans les secteurs clés de nos sociétés. Alors que la première directive NIS visait à protéger les acteurs économiques majeurs de l’UE, cette nouvelle directive élargit le champ des entités et des secteurs concernés et introduit des exigences plus adaptées, notamment au regard du renforcement de la menace cyber. Elle prévoit un socle de mesures juridiques, techniques et organisationnelles que les futures entités assujetties devront mettre en œuvre, en fonction du risque existant, afin d’élever leur niveau général de cybersécurité et d’accroître leur résilience opérationnelle.

L’ANSSI, en tant qu’autorité nationale en matière de cybersécurité et de cyberdéfense, pilote la transposition en droit national de la directive et assure sa mise en œuvre.

Les entités essentielles (EE) et entités importantes (EI)

Pour garantir une proportionnalité de traitement, la directive NIS 2 distingue deux catégories d’entités régulées : EE – Entités essentielles / EI – Entités importantes.

Cette catégorisation s’établit selon leur degré de criticité, leur taille et leur chiffre d’affaires (pour les entreprises).

La règlementation s’appuiera sur ces deux typologies d’entités (EE ou EI) pour définir des objectifs adaptés et proportionnés aux enjeux de chacune de ces catégories.

+ de 10 000 entités concernées sur 18 secteurs d’activité

Collectivités territoriales Administrations publiques Moyennes entreprises Grandes entreprises

Les secteurs concernés

Secteurs hautement critiques

Administrations publiques

Eaux potables

Eaux usées

Énergies

Espace

Gestion des services Technologies de l’Information et de la Communication (interentreprises)

Infrastructures des marchés financiers

Infrastructures numériques

Santé

Secteur bancaire

Transports

Autres secteurs critiques

Fabrication, production et distribution de produits chimiques

Fournisseurs numériques

Gestion des déchets

Industrie manufacturière

Production, transformation et distribution de denrées alimentaires

Recherche

Services postaux et d’expédition

Quelles obligations pour les entités ?

Le partage d’informations

Les entités seront tenues de fournir un certain nombre d’informations à l’ANSSI et de les mettre à jour.

La gestion des risques cyber

La mise en place de mesures adaptées : les entités devront mettre en place des mesures juridiques, techniques et organisationnelles pour gérer les risques qui menacent la sécurité de leurs réseaux et de leurs systèmes d’information.

La déclaration d’incidents

Les entités devront signaler à l’ANSSI leurs incidents de sécurité ayant un impact important et fournir des rapports concernant l’évolution de la situation.

Source : monespacenis2.cyber.gouv.fr