Elle arrive... la directive NIS2 :
Le 27 décembre 2022, le Parlement européen publiait la directive UE) 2022/2555, plus communément appelée « Directive NIS2 », et octroyait aux États membres un délai de 21 mois pour sa transposition. Retrouvez le texte ici
NIS2 entrera donc en vigueur, en France, au plus tard le 18 octobre 2024.
Êtes vous concernés ? A ce jour, la directive NIS2 comprend des annexes 1 et 2 dans lesquelles il est indiqué les secteurs, sous-secteurs et les types d’entité concernés.
Concrètement, la directive NIS2 continuera de s’appliquer aux secteurs déjà concernés par NIS1 (établissements de santé, banques, transports), et s’étendra à de nouveaux secteurs d’activité : administrations publiques, télécommunications, plateformes de réseaux sociaux, services postaux, secteur spatial, entre autres.
Quels ont les obligations ? NIS2 prévoit de nouvelles obligations pour les entités concernées sur le traitement des incidents, la gestion des risques, la sécurité de la chaîne d’approvisionnement, le chiffrement et la divulgation des vulnérabilités.
- Signalement des incidents de sécurité : la NIS2 prévoit une approche en deux étapes. Les entreprises concernées disposeront de 24 heures à compter de la survenance de l’incident pour soumettre un premier signalement à l’ANSSI via un rapport préliminaire. Celui-ci devra être complété par un rapport final sous un délai maximum d’un mois.
- Gestion des risques cyber : les entités devront porter une attention particulière à la formation de leurs décideurs à la gestion des risques. NIS2 souligne également l’obligation du corps managérial de contribuer au processus de validation des mesures de gestion des risques cyber.
- Tests et audits de sécurité : NIS2 imposera aux entités de mener régulièrement des tests et des audits techniques, dont des tests d’intrusions et scans de vulnérabilités pour évaluer l'efficacité des mesures de sécurité déployées.
- Sécurité de la supply chain : les entreprises seront amenées à effectuer des travaux de "due diligence" sur la chaîne d’approvisionnement, notamment via l’étude des pratiques de cybersécurité en vigueur avec leurs fournisseurs et prestataires de services.
En résumé
Cette directive a pour double effet, de fixer des exigences nouvelles en termes de cybersécurité, et également d'élargir le périmètre des entités critiques dites régulées. Avec NIS1 on parlait d'OIV (opérateur d'importance vitale) et d'OSE (opérateur de services essentiels). Avec NIS2, il sera question d'EE (Entité Essentielle) et d'EI (Entité Importante), ces entités seront plus nombreuses (au moins 8 fois plus) et concernent les prestataires de services numériques.
Comment anticiper ?
De la même manière que pour la conformité RGPD et ses mesures sécuritaires, nos experts et nos services DPO / SECURISC se tiennent à votre disposition pour anticiper et mettre en place cette nouvelle directive. N'hésitez pas à contacter nos services.