Accueil
Actualités
La directive NIS2, un enjeu réglementaire pour les chefs d'entreprise


#CYBERSÉCURITÉ

La directive NIS2, un enjeu réglementaire pour les chefs d'entreprise



Entre les évolutions technologiques constantes et la croissance exponentielle des cyberattaques, la cybersécurité devient une priorité des gouvernements européens. Pour protéger les citoyens, il est nécessaire d’encadrer au mieux la protection des systèmes d’informations des entreprises et institutions.

C’est pourquoi, les membres de l’Union Européenne se sont mis d’accord sur la mise en place de la directive NIS 2 (Network and Information Security). Ce nouveau cadre de jeu oblige les chefs d’entreprise à placer le sujet de la cybersécurité comme une priorité.

Les RSSI (Responsables de Sécurité des Systèmes d’Information) et les directions de cybersécurité doivent s’emparer du sujet sans tarder pour respecter les obligations et éviter les sanctions. En quoi consiste la directive NIS2 ? Que va-t-elle changer pour les entreprises ? Quels sont les risques si les chefs d’entreprises ne respectent pas la directive NIS2 ?

LA DIRECTIVE NIS2, UN CADRE EUROPÉEN POUR UNE CYBERSECURITE STANDARDISÉE ET RENFORCÉE

Que se cache-t-il derrière cet acronyme ? NIS signifie “Network and Information Security”. La directive NIS2 est aussi appelée “Directive sur la sécurité des réseaux et des informations”. Celle-ci représente une nouvelle étape majeure dans le monde de la cybersécurité européenne.

Sans surprise, comme son nom l’indique, la directive NIS 2 s’appuie sur… la directive NIS 1. L’objectif de la directive NIS 2 est de se focaliser davantage sur les mesures de cybersécurité nécessaires à mettre en place pour préserver la population des pays membres de l’Union Européenne. Publié dans le Journal Officiel de l'Union européenne en décembre 2022, ce texte existe pour renforcer et imposer des actions de prévention de cybersécurité à certains secteurs d’activité jugés critiques ou importants pour le bon fonctionnement.

De plus, il permet aussi de mettre les différents pays de l’Union Européenne sur un même niveau minimum pour garantir la cyber résilience de chacun des Etats et préserver les relations interétatiques dans la communauté européenne.

DE PLUS EN PLUS D’ENTREPRISES OBLIGÉES DE RESPECTER LA DIRECTIVE NIS2

La directive NIS 1 abordait déjà la notion de cybersécurité auprès des Etats Européens. Pourtant, cette nouvelle directive NIS 2 fait davantage parler d’elle parmi les RSSI (Responsables de la Sécurité des Systèmes d’Information) ou les DSI (Directions des Systèmes d’Information). En effet, un point majeur change : la liste des secteurs d’activité concernés par ces nouvelles mesures de cybersécurité.

De plus en plus d’entreprises vont devoir se mettre aux normes quant à cette directive NIS2. Dans la NIS1, les secteurs listés étaient considérés comme “critiques”. Aujourd’hui, la NIS2 va plus loin en ajoutant de nouveaux secteurs d’activités estimés comme “critiques” et, aussi, en ajoutant des secteurs d’activités dits “importants” pour le fonctionnement des Etats membres.

LES SECTEURS D'ACTIVITÉS CONCERNÉS PAR LA DIRECTIVE NIS2

La directive NIS 2 instaure donc une cybersécurité dite « de masse » en intégrant beaucoup plus d’entreprises et institutions qui doivent se soumettre à cette règle européenne. Voici la liste des secteurs d’activités de la directive NIS 2.

Les entreprises jugées “critiques” sous la directive NIS 1

Sans surprise, les entreprises qui ont déjà été impactées par les règles de la première directive devront se mettre à jour quant à la nouvelle directive NIS 2.

Les entreprises de la fabrication et de l’alimentaire.

Fabricants industriels, fabricants de dispositifs électroniques et optiques mais aussi coopératives ou encore grande distribution… Avec ces nouveaux secteurs d’activités, la directive NIS 2 va élargir grandement son champ d’action.

Les entreprises fortement réglementées qu’il faut préserver

Certains secteurs sont déjà très contrôlés comme la gestion des eaux usées ou encore la fabrication et la distribution de produits chimiques. Elles doivent aussi se renforcer quant à leur cybersécurité.

Les entreprises spatiales rejoignent celles du transport

Le domaine spatial doit aussi être protégé des cyberattaques, tout comme les autres entreprises de transport.

Les entreprises du e-commerce, de l’information et de la communication.

C’est certainement l’une des nouveautés de la directive NIS 2 qui fait réagir les chefs d’entreprise, RSSI et DSI. Les plateformes de marché en ligne, (sites e-commerce compris), les moteurs de recherche et les réseaux sociaux (entreprises de 50 personnes uniquement) devront se mettre en conformité.

Les administrations et services jugés essentiels par les pays membres.

Enfin, chaque pays membre de l’Union Européenne pourra préciser les institutions qui devront appliquer cette directive NIS 2. Parmi ces institutions, on y retrouve :

  • des administrations locales et régionales
  • des services de recherche et enseignement supérieur engagés sur des sujets majeurs
  • des services de santé publique et sécurité engagés sur les sujets de santé publique, de sûreté et de sécurité.

DIRECTIVE NIS2 : DE NOUVELLES OBLIGATIONS ET SANCTIONS QUI INQUIÈTENT LES CHEFS D’ENTREPRISE

Publiée au Journal officiel en 2022, la directive NIS 2 doit être mise en place par tous les pays membres de l’Union Européenne avant octobre 2024. Une fois que cette directive sera acceptée, les administrations françaises se pencheront sur les décrets et arrêtés encadrant la mise en place de cette loi auprès des entreprises.

Les chefs d’entreprise ont conscience qu’une fois que ces obligations seront mises en vigueur, ils ne seront pas à l’abri d’un contrôle. D’autant plus que les sanctions ont également été revues. Désormais, la sanction appliquée en cas de manquement à la directive NIS 2 sera calculée à partir du chiffre d’affaires.
Plus exactement, la sanction s’élève à :

  • 1,4% du chiffre d'affaires pour les entités dites “importantes”
  • 2% du chiffre d'affaires pour les entités dites essentielles.

Les chefs d’entreprises, RSSI et DSI doivent se préparer à une série d’actions de cybersécurité à mettre en place. Ce sujet devrait occuper de nombreuses directions d’entreprises en 2024 et 2025 afin de répondre aux exigences de l’Union Européenne et éviter des sanctions revues à la hausse et indexées au chiffre d’affaires.