top of page
Rechercher

Directive NIS 2 : qui est concerné?

  • xdpo
  • 26 avr. 2024
  • 3 min de lecture

Dernière mise à jour : 1 oct.

casque orange

Le Directive NIS 2, publiée le 27 décembre 2022, devrait être transposée en droit français d'ici la fin de l'année 2025 (selon le texte, les Etats membres ont 21mois pour transposer la Directive en droit français, soit le 18 octobre 2024). Elle vise à renforcer la cybersécurité en France et en Union Européenne.

En effet, avec la digitalisation des organisations publiques et privées, l'omniprésence d'internet mais aussi un contexte international agité et belliqueux, la menace cybercriminelle est de plus en plus forte.


La Directive NIS 2 est donc un moyen d'élever collectivement notre niveau de cybersécurité. Nous la décrivons dans cet article de Blog : Directive NIS2 : les informations essentielles disponible en cliquant ici


Même si les critères d'éligibilité seront bientôt précisés par l'ANSSI, on peut considérer que votre organisation est concernée par la Directive NIS 2 si elle a les caractéristiques suivantes:


  • Votre organisation est dans une secteur d'activité critique ou hautement critique

  • Votre organisation est dite "Essentielle" ou "Importante"

  • Vos clients vous le demandent


Parcourons ensemble les quatre critères:



1️⃣Votre organisation est dans un secteur d'activité critique ou hautement critique


La Directive NIS2 liste ces deux types de secteurs :


Les secteurs considérés comme hautement critiques sont décrits dans l'Annexe 1 de la Directive. Ce sont les secteurs des :

  • Administrations publiques,

  • Eaux potable,

  • Eaux usées,

  • Énergies,

  • Espace,

  • Gestion des services Technologies de l’Information et de la Communication (interentreprises),

  • Infrastructures des marchés financiers,

  • Infrastructures numériques,

  • Secteur bancaire,

  • Transports


Les secteurs critiques sont décrits dans l'Annexe 2 de la Directive. ce sont les secteurs suivants :

  • produits chimiques,

  • fournisseurs numériques,

  • gestion des déchets,

  • Industrie manufacturière,

  • production, transformation et distribution de denrées alimentaires,

  • recherche,

  • services postaux et d’expédition


2️⃣ Votre organisation est essentielle ou importante


Pour garantir une proportionnalité de traitement, la directive NIS 2 distingue deux catégories d'entités régulées:


  • EE : les Entités essentielles

  • EI : les Entités importantes


Cette catégorisation s'établit selon leur degré de criticité, leur taille et leur chiffre d'affaires (pour les entreprises).


Essentielles ou importantes, les entités régulées devront dépasser les seuils de 10M€ de chiffre d'affaires et de 50 employés : les petites entreprises ne sont pas concernées.


La règlementation s'appuiera sur ces deux typologies d'entités (EE ou EI) pour définir des objectifs adaptés et proportionnés aux enjeux de chacune de ces catégories.


3️⃣Vos clients vous le demandent


La directive NIS 2 étend son champ d'application bien au-delà des entités directement désignées comme essentielles ou importantes. Si votre entreprise n'est pas directement concernée par le texte, il est tout de même possible que vous soyez impacté de manière indirecte. En effet, la directive met un accent particulier sur la chaîne d'approvisionnement et la sécurité des sous-traitants.


Les articles 21.d et 22 de la directive NIS 2 imposent aux entités concernées de prendre des mesures pour garantir la sécurité de leur propre chaîne d'approvisionnement. Cela signifie que les organisations désignées doivent s'assurer que leurs fournisseurs de services critiques ou de produits numériques respectent également des standards de cybersécurité élevés.






En attendant des précisions sur la mise en œuvre concrète de la Directive NIS2, il convient donc de rester informé auprès des publications de l'ANSSI ou en consultant la Directive en ligne : https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32022L2555



Pour aider les entreprises dans cette démarche, l'ANSSI a mis en place un outil d'accompagnement : MonEspaceNIS2. Ce portail permet aux organisations de réaliser un auto-diagnostic pour savoir si elles sont soumises à la réglementation.


Le portail est consultable à cette adresse : https://monespacenis2.cyber.gouv.fr/simulateur



Liens utiles


Mon Espace NIS 2 par l'Anssi

La page de l'ANSSI dédiée à la Directive NIS 2

Anssi : L’Agence Française pour la cybersécurité

Enisa : L’Agence de l'Union européenne pour la cybersécurité https://www.enisa.europa.eu/about-enisa/about/fr


bottom of page