top of page
Rechercher

Directive NIS 2 : qui est concerné?

  • xdpo
  • 26 avr. 2024
  • 3 min de lecture

Dernière mise à jour : 24 mars

casque orange

Le Directive NIS 2, publiée le 27 décembre 2022, devrait être transposée en droit français d'ici la fin de l'année 2025 (selon le texte, les Etats membres ont 21mois pour transposer la Directive en droit français, soit le 18 octobre 2024). Elle vise à renforcer la cybersécurité en France et en Union Européenne.

En effet, avec la digitalisation des organisations publiques et privées, l'omniprésence d'internet mais aussi un contexte international agité et belliqueux, la menace cybercriminelle est de plus en plus forte.


La Directive NIS 2 est donc un moyen d'élever collectivement notre niveau de cybersécurité.


Même si les critères d'éligibilité seront bientôt précisés par l'ANSSI, on peut considérer que votre organisation est concernée par la Directive NIS 2 si elle a les caractéristiques suivantes:


  • Elle est dans une secteur d'activité critique ou hautement critique

  • Elle est dite "Essentielle" ou "Importante"

  • Vos clients vous le demandent

  • Votre organisation a été notifiée par l'ANSSI


Parcourons ensemble les quatre critères:



1️⃣Votre organisation est dans un secteur d'activité critique ou hautement critique


La Directive NIS2 liste ces deux types de secteurs :


Les secteurs considérés comme hautement critiques sont décrits dans l'Annexe 1 de la Directive. Ce sont les secteurs des :

  • Administrations publiques,

  • Eaux potable,

  • Eaux usées,

  • Énergies,

  • Espace,

  • Gestion des services Technologies de l’Information et de la Communication (interentreprises),

  • Infrastructures des marchés financiers,

  • Infrastructures numériques,

  • Secteur bancaire,

  • Transports


Les secteurs critiques sont décrits dans l'Annexe 2 de la Directive. ce sont les secteurs suivants :

  • produits chimiques,

  • fournisseurs numériques,

  • gestion des déchets,

  • Industrie manufacturière,

  • production, transformation et distribution de denrées alimentaires,

  • recherche,

  • services postaux et d’expédition


2️⃣ Votre organisation est essentielle ou importante


Pour garantir une proportionnalité de traitement, la directive NIS 2 distingue deux catégories d'entités régulées:


  • EE : les Entités essentielles

  • EI : les Entités importantes


Cette catégorisation s'établit selon leur degré de criticité, leur taille et leur chiffre d'affaires (pour les entreprises).


Essentielles ou importantes, les entités régulées devront dépasser les seuils de 10M€ de chiffre d'affaires et de 50 employés : les petites entreprises ne sont pas concernées.


La règlementation s'appuiera sur ces deux typologies d'entités (EE ou EI) pour définir des objectifs adaptés et proportionnés aux enjeux de chacune de ces catégories.


3️⃣Vos clients vous le demandent


Si votre organisation travaille pour le compte d'un client concerné par la Directive NIS2, il est probable que le client vous demande des preuves de mesures de cybersécurité.


En effet, la Directive NIS 2 (dans ses articles 21.d et 22) demande aux organisations de vérifier la chaîne d'approvisionnement : les organisations doivent vérifier que leur sous-traitants ont pris des mesures de cyber-protection.


4️⃣Votre organisation a été notifiée par l'ANSSI


La date exacte à laquelle l'ANSSI - Agence Nationale de la Sécurité des Systèmes d'Information - désignera les organisations concernées par NIS2 n'a pas encore été communiquée.

Mais il est probable que la désignation des organisations concernées par NIS2 aura lieu en fin de l'année 2025.

Chaque organisation sera notifiée individuellement par l'ANSSI.


Dans ce cas vous devez juste vous informer sur la conformité NIS2, désigner un responsable et préparer votre mise en conformité.



En attendant des précisions sur la mise en œuvre concrète de la Directive NIS2, il convient donc de rester informé auprès des publications de l'ANSSI ou en consultant la Directive en ligne : https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32022L2555



L'Anssi propose un simulateur en ligne qui vous indique après quelques questions si votre organisation est concernée par la Directive NIS 2.


Le simulateur est consultable à cette adresse : https://monespacenis2.cyber.gouv.fr/simulateur



Liens utiles


Mon Espace NIS 2 par l'Anssi

La page de l'ANSSI dédiée à la Directive NIS 2

Anssi : L’Agence Française pour la cybersécurité

Enisa : L’Agence de l'Union européenne pour la cybersécurité https://www.enisa.europa.eu/about-enisa/about/fr


Commentaires

bottom of page