Cybersécurité : Anticiper les effets de la directive NIS 2 sur son entreprise

Dans les secteurs de l’énergie, les transports, le secteur bancaire, la gestion des déchets, l’agroalimentaire… mais également les fournisseurs et prestataires de ces entreprises : la directive européenne NIS 2 vise à assurer un niveau élevé de cybersécurité dans les entreprises et administrations de l’ensemble de l’Union européenne. Elle doit être transposée en France comme dans tous les États membres avant cet automne 2024.

NIS 2, pour Network and Information Security, version 2 – ou, en français, SRI 2 pour Sécurité des réseaux et des systèmes d’information – est une directive européenne du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union européenne.

Selon le député Philippe Latombe : « Dans un contexte géopolitique particulièrement perturbé, la directive NIS 2 constitue une mise à jour inévitable de la législation européenne en matière de cybersécurité. Si elle s’appuie sur la directive NIS de 2016, elle a comme objectifs de renforcer la cybersécurité, simplifier les rapports et créer des règles et des sanctions cohérentes dans l’ensemble de l’UE. En élargissant son champ d’application, NIS 2 oblige davantage d’entreprises et de secteurs à prendre des mesures de cybersécurité, avec l’objectif majeur de renforcer la cybersécurité globale de l’Europe à long terme. »

Entrée en vigueur le 17 janvier 2023, elle doit être transposée par les États membres au plus tard le 17 octobre 2024 : des actes d’exécution établissant les exigences techniques et méthodologiques précises sont en cours d’adoption en France.

Parmi les principales caractéristiques de NIS 2 figurent un élargissement très notable des entités qui y seront soumises et la création de sanctions dissuasives en cas de non-respect des obligations qui en découlent.

En France, par exemple, environ 300 Opérateurs de services essentiels étaient désignés sous l’égide de NIS 1. À l’échelle nationale, NIS 2 s’appliquera à des milliers d’entités appartenant à plus de dix-huit secteurs qui seront désormais régulés.

Environ 600 types d’entités différentes seront concernés. Parmi eux des administrations de toutes tailles et des entreprises allant des PME aux groupes du CAC 40. D’après l’Anssi, entre 1 000 et 2 000 entités essentielles et entre 10 000 et 15 000 entités importantes entreront ainsi dans le périmètre.

S’y ajouteront les acteurs dits « de la chaîne d’approvisionnement », dont les acteurs du numérique, qui seront également soumis au dispositif. Ces acteurs sont en effet de plus en plus ciblés par des cyberattaques qui visent à atteindre, à travers eux, des clients finaux d’importance plus critiques : les entités soumises à NIS 2 devront encadrer contractuellement les aspects cybersécurité avec leurs fournisseurs et prestataires directs.