Le Directive NIS2, publiée le 27 décembre 2022, entrera en vigueur le 18 octobre 2024. Elle vise à renforcer la cybersécurité en France et en Union Européenne.
En effet, avec la digitalisation des organisations publiques et privées, l'omniprésence d'internet mais aussi un contexte international agité et belliqueux, la menace cybercriminelle est de plus en plus forte.
L'Anssi - Agence Nationale de la Sécurité des Systèmes d'Information - propose un simulateur en ligne qui vous indique après quelques questions si votre organisation est concernée par la Directive NIS2.
Le simulateur est consultable à cette adresse/ https://monespacenis2.cyber.gouv.fr/simulateur
Pour savoir si votre organisation est concernée par la Directive NIS2, il y a plusieurs critères à prendre en compte, nous allons les décrire ci-dessous.
1️⃣Les organisations concernées à cause de leur secteur d'activité : critique ou hautement critique
La Directive liste deux types de secteurs concernés:
Les secteurs considérés comme hautement critiques sont décrits dans l'Annexe1 de la Directive. Ce sont les secteurs des:
Administrations publiques,
Eaux potable,
Eaux usées,
Énergies,
Espace,
Gestion des services Technologies de l’Information et de la Communication (interentreprises),
Infrastructures des marchés financiers,
Infrastructures numériques,
Secteur bancaire,
Transports
Les secteurs critiques sont décrits dans l'Annexe 2 de la Directive. ce sont les secteurs suivants:
produits chimiques,
fournisseurs numériques,
gestion des déchets,
Industrie manufacturière,
production, transformation et distribution de denrées alimentaires,
recherche,
services postaux et d’expédition
2️⃣Les organisations concernées à cause de leur criticité dans le secteur d'activité
Pour garantir une proportionnalité de traitement, la directive NIS 2 distingue deux catégories d'entités régulées :
EE : les Entités essentielles
EI : les Entités importantes
Cette catégorisation s'établit selon leur degré de criticité, leur taille et leur chiffre d'affaires (pour les entreprises).
La règlementation s'appuiera sur ces deux typologies d'entités (EE ou EI) pour définir des objectifs adaptés et proportionnés aux enjeux de chacune de ces catégories.
3️⃣Les sous-traitants d'organisations concernées
Si votre organisation travaille pour le compte d'un client concerné par la Directive NIS2, il est probable que le client vous demande des preuves de mesures de cybersécurité.
En effet, la Directive NIS2 (dans ses articles 21.d et 22) demande aux organisations de vérifier la chaîne d'approvisionnement : les organisations doivent vérifier que leur sous-traitants ont pris des mesures de cyber-protection.
4️⃣Les organisations concernées car désignées par l'ANSSI
La date exacte à laquelle l'ANSSI désignera les organisations concernées par NIS2 n'a pas encore été communiquée.
Mais il est probable que la désignation des organisations concernées par NIS2 aura lieu avant la fin de l'année 2024.
Chaque organisation sera notifiée individuellement par l'ANSSI
En attendant des précisions sur la mise en oeuvre concrète de la Directive NIS2, il convient donc de rester informé auprès des publications de l'ANSSI ou en consultant la Directive en ligne : https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32022L2555
Liens utiles
Mon Espace NIS2 par l'Anssi
La page de l'ANSSI dédiée à la Directive NIS2
Anssi : L’Agence Française pour la cybersécurité
Enisa : L’Agence de l'Union européenne pour la cybersécurité https://www.enisa.europa.eu/about-enisa/about/fr