Table des matières
NIS2, qu'est-ce que c'est ?
NIS2, qu’est ce que c’est ?
C’est une directive européenne destinée à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union Européenne.
RESUME RAPIDE
-Quand sera-t-elle sera appliquée en France ?
Une fois que la transposition nationale de la directive européenne sera finalisée au plus tard 17/10/2024
-Qui sera concerné par la Directive :
Secteurs essentiels au fonctionnement de l’état
-Exigence des entités concernées :
Se notifier auprès de l’ANSSI
Déclaration à l’ANSSI des incidents majeurs
date de mise en application
La France a pour obligation de finaliser la transposition de NIS2 en droit national au plus tard le 17/10/2024
A partir de cette date (ou avant) les entités (sociétés ou collectivités) auront à disposition la directive finalisée
La directive finalisée précisera le délai de mise en conformité
Entités concernées
Les entités concernées sont reparties en 2 annexes d’activités et seront éligible suivant leur taille ou leur chiffre d’affaires :
Entités concernées Annexe 1
Quels sont les services des TIC (Service de l’information et de la communication) ?
- les services de téléphonie vocale
- les services de transmission de données informatiques
- les services informatiques
- les services de communication par Internet (voix sur IP)
- le service de multimédia et d’audiovisuel
- les services de commerce électronique
L’administration public mais également les collectivités territoriales seront certainement concernées
Entités concernées Annexe 2
Entités Essentielles et Importantes
NIS2 intègre deux typologies d’entités différentes :
- Les entités personnelles (EE)
- Les entités importantes (EI)
NIS2 intègre la proportionnalité entre EE et EI dans :
- Les mesures de sécurité
- Possibilité d’avoir des niveaux d’exigences différents entre les EE et les EI, notamment pour prendre en considération els moyens et enheux d’une grande entreprise versus d’une PME
- La régulation
- Pour les EE : régulation dite « ex-ante » (contrôle à discrétion de l’ANSSI)
- Pour les EI : régulation dite « ex-post » (contrôle en cas de connaissance d’une non-conformité)
- Les sanctions
- Seront d’une ampleur comparable à celui du RGPD
- De manière simplifiée, sanctions pouvant aller jusqu’à 2% du CA mondial pour les EE et 1,4% pour les EI
Obligation des entités
Notification à l’ANSSI
- La France envisage de mettre en place un mécanisme permettant aux entités de se notifier auprès de l’ANSSI
Communication des infirmations de contact et mise à jour
- Type d’information à communiquer à minima :
- Nom de l’entité
- Adresse et coordonnées actualisées
- Secteurs d’activité
- Liste des états membres de l’UE dans lesquels sont fournis les services
Déclaration à l’ANSSI des incidents majeurs
- La déclaration d’incident s’effectuera en plusieurs étapes :
- Notification
- Rapport d’avancement
- Rapport final
site de l’ANSSI : https://cyber.gouv.fr/la-directive-nis-2
Comment Upper-Link peut vous aider ?
N’attendez surtout pas octobre 2024 pour prendre des mesures de cybersécurités car leur nécessité son déjà d’actualité.
Upper Link peut vous accompagner pour la définition d’une politique de sécurité en commencent par les éléments essentiels à une sécurisation minimale.
NIS2 demandes également une organisation de la sécurité du system d’information plus avancé avec entre autres une Gestions du risque, un plan de continuité et des politiques de sécurité.
Pour la mise en œuvre de ces mesures l’accompagnement d’un RSSI délégué est indispensable pour toutes sociétés qui n’a pas de RSSI interne ou équivalent :
L’Externalisation du RSSI : Un Pilier Stratégique pour la Cybersécurité des TPE et PME – UPPER-LINK
Contactez-nous : [email protected]