MS solution Partner
Upper-Link est depuis plus de 10 ans un partenaire de Microsoft. Découvrez nos certifications.
Espace client
Directive NIS2

Directive NIS2 et renforcement de la cybersécurité

Table des matières

Les enjeux de la directive NIS2

Face aux cybermenaces de plus en plus sophistiquées, la directive NIS2 apporte une mesure forte contre les vulnérabilités du cyberespace européen. Ce règlement ambitieux vise à renforcer significativement les exigences en matière de cybersécurité déjà imposées par la NIS1, en élargissant son niveau d’application à de nouveaux acteurs. Zoom sur les enjeux de la directive NIS2.

Directive NIS2 : définition et application

La directive NIS2, relative à la cybersécurité des entreprises européennes, sera applicable dans les mois à venir. Voyons ce que cela va changer, et qui sera concerné.

Qu’est-ce que la directive NIS2 ?

La directive NIS (Network & Information Security) est un texte européen voté par l’Union européenne. Il vise à assurer un niveau de sécurité numérique élevé sur tout le marché européen, et plus particulièrement dans les secteurs dépendants fortement des technologies de l’information et de la communication. L’accent est donc porté sur la sécurité des ressources cloud, sur les filtres anti-phishing et sur toutes les solutions de cybersécurité intelligentes.

La NIS1 a été adoptée en 2016. Mais au regard des évolutions des cybermenaces, la directive NIS2 viendra renforcer les exigences de la première version dès la fin de l’année 2024.

L’objectif est alors d’étendre le champ d’application de la directive, en impliquant davantage de secteurs, et donc d’entreprises. Au total, plus de 160 000 organisations sont concernées par cette nouvelle directive NIS2 en Europe (contre quelques milliers avec la NIS1).

Quand la directive NIS2 sera-t-elle en vigueur ?

Le Parlement européen a adopté la directive NIS2 le 10 novembre 2022. Elle a donc été publiée dans le Journal officiel de l’Union européenne le 27 décembre 2022. La directive est ensuite applicable par les États membres dans un délai de 21 mois. Autrement dit, la directive européenne NIS2 sera applicable dès le 17 octobre 2024.

Quelles sont les entreprises concernées par NIS 2 ?

La directive NIS2 s’appliquera à toutes les entreprises proposant des services ou exerçant des activités au sein de l’Union européenne. Cela inclut donc les entreprises établies en Europe. Mais les organisations basées à l’étranger qui offrent des services aux citoyens européens sont aussi concernées, dès lors qu’elles opèrent dans les secteurs visés par la directive. Ensuite, trois critères sont pris en compte : le chiffre d’affaires, l’effectif de l’entreprise, et le secteur d’activité.

 Les seuils de chiffre d’affaires et d’effectif

Avec la nouvelle directive, les seuils de chiffres d’affaires et d’effectifs sont aussi revus à la baisse. Seront donc concernées par la NIS2 :

  • Les grandes entreprises (CA supérieur à 50 millions d’euros et effectif supérieur à 250 employés)
  • Les moyennes entreprises (CA entre 10 et 50 millions d’euros et effectif entre 50 et 250 employés)
 Les secteurs d’activité

Le chiffre d’affaires et l’effectif d’une entreprise doivent également être complétés par le secteur d’activité pour déterminer si elle fait partie des entités importantes ou des entités essentielles. Et si la NIS1 régissait 19 secteurs, la nouvelle directive NIS2 compte désormais 35 secteurs d’activité. Ainsi, le nouveau texte élargit son champ d’application à de nouveaux secteurs, comme les services postaux et d’expédition, ou encore les fournisseurs de services numériques.

Les secteurs sont définis dans 2 annexes :

  • L’annexe 1 mentionne les secteurs hautement critiques
  • L’annexe 2 mentionne les autres secteurs critiques

 Les notions d’entité importante et d’entité essentielle 

Les notions d’Opérateurs de Services Essentiels (OSE) et de Fournisseurs de Services Numériques (FSN) de la première directive laissent place aux notions d’Entités Essentielles (EE) et d’Entités Importantes (EI).

 

EI et EE : quelles différences ?

Pour distinguer une entité essentielle d’une entité importante, il faut tenir compte des conséquences en cas d’interruption des services de l’entreprise. Si les conséquences sont considérées comme graves pour l’ensemble de l’État membre concerné, alors l’entreprise est classée comme une entité essentielle.

 Comment savoir si une entreprise est une EI ou une EE ?

Pour déterminer le classement d’une entreprise, il faut reprendre les 3 critères de base : le chiffre d’affaires, l’effectif et le secteur d’activité. En vous reportant sur le tableau ci-dessous, vous pourrez alors déterminer l’entité d’une entreprise.

Que risque-t-on en cas de non-respect de NIS2 ?

Les sanctions en cas de non-respect de la directive NIS2 dépendent essentiellement du statut de l’entreprise.

  •       Pour une entité essentielle : la sanction financière peut aller jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires mondial total. Le dirigeant peut être interdit d’exercer ;
  •       Pour une entité importante : la sanction financière peut aller jusqu’à 7 millions d’euros ou 1.4 % du chiffre d’affaires mondial total.

 

À noter : les EE peuvent faire l’objet de contrôles inopinés (comme pour la CNIL ou la RGPD), tandis que les EI seront contrôlées après notification d’incident. En effet, les EI comme les EE doivent notifier tous les incidents de sécurité, même s’il n’y a pas de fuite de données personnelles.

Comment se préparer à l'arrivée de la directive NIS2 ?

L’arrivée de la directive NIS2 ne va pas impacter toutes les entreprises de la même manière. Les acteurs déjà concernés par la NIS1 devront poursuivre leurs efforts, tout en étendant le périmètre d’application de leurs pratiques de cybersécurité. Désormais, toutes les activités en lien avec l’activité essentielle de l’entreprise sont concernées par la directive, comme la comptabilité, par exemple.

Pour les nouvelles entreprises concernées par la réglementation, la transposition de la NIS2 va demander de préparer le terrain en procédant par étapes :

  • Cartographier les activités « métiers », leurs besoins spécifiques en matière de sécurité numérique et les risques en cas de défaillance ;
  • Évaluer le niveau de cybersécurité déjà en place ;
  • Élaborer une feuille de route pour sécuriser chaque composant des systèmes d’information.

Comment Upper-Link peut vous aider ?

N’attendez surtout pas octobre 2024 pour prendre des mesures de cybersécurité. Les risques sont déjà d’actualité, et la mise en conformité demande du temps. Pour effectuer dès maintenant la mise en œuvre des mesures NIS2 dans votre organisation, Upper Link vous propose un accompagnement sur mesure grâce à l’externalisation de votre RSSI et l’utilisation de solutions de sécurité informatique performantes.

Nous définirons ensemble une politique de sécurité intégrant les éléments essentiels à une sécurisation minimale mais aussi l’optimisation plus avancée de la sécurité de vos systèmes d’informations avec, entre autres, une gestion du risque, un plan de continuité et des politiques de sécurité.

Lisez aussi…

Sécurité Cloud

Sécurité Cloud : ce qu’il faut savoir

Comment assurer la sécurité cloud computing pour protéger les données, les applications et les infrastructures d’une organisation …
Actualité - transition vers le cloud

Réussir sa migration vers le cloud

Découvrez comment réussir sa transition vers le cloud …
Actualités - Big data

Big data analytics : transformez vos données en insights

Découvrez comment le Big data analytics peut transformer vos données en insights …
Le pouvoir de l'IA dans les attaques de phishing

Le pouvoir de l’IA dans les attaques de phishing

Comment l’intelligence artificielle joue un rôle de plus en plus important dans les attaques de phishing ainsi que dans les stratégies de …
Cybersécurité pendant les JO : quels enjeux ?

Cybersécurité pendant les JO : quels enjeux ?

Éclairage sur les défis de cybersécurité liés aux Jeux Olympiques et les stratégies de protection informatique pour contrer les cyberattaques. …
Actualités - IA fonctionnement

IA et apprentissage automatique : définition et fonctionnement

L’apprentissage automatique est basé sur des algorithmes et permet d’améliorer les performances décisionnelles et prédictives des entreprises. …

Nos événements

[WEBINAR] Copilot 365 : Optimisez vos processus et gagnez en efficacité

Webinars
17/12/2024

[WEBINAR] Copilot 365 : Simplifiez vos tâches administratives et gagnez du temps

Webinars
28/11/2024

[WEBINAR] Maximisez l’efficacité de vos équipes avec Copilot 365

Webinars
05/11/2024