Le 29 août 2024

Cybersécurité Protection Des Données

La directive NIS-2 (Network and Information Security 2) est une mise à jour de la directive NIS (Network and Information Security) initialement introduite par l’Union Européenne en 2016. Son objectif principal est de renforcer la cybersécurité à travers l’Europe en mettant en place des mesures strictes pour protéger les réseaux et les systèmes d’information essentiels. Pour les DSI et RSSI, comprendre qui est concerné par cette directive et quels sont les objectifs de NIS-2 est le premier pas vers une conformité réussie.  

 

Besoin d'évaluer votre conformité NIS-2 ?

Origine de NIS 2

 

Une première directive NIS-1 a vu le jour en 2016 à l’échelle européenne. NIS-1 permettait un renforcement des capacités de coopération à l’échelle européenne en matière de sécurité des systèmes informatiques. Il y avait déjà à ce moment-là une obligation pour les Etats membres de définir une stratégie nationale de cybersécurité et de désigner une autorité compétente qui pouvait vérifier l’application de cette directive pour les entités concernées. Cette mesure impliquait aussi la mise en du Groupe de Coopération (GC) de manière à se coordonner dans la déclinaison et dans sa transposition à l’échelle nationale, dans sa mise en œuvre au quotidien afin de favoriser le retour d’expérience entre les différentes nations.

 

Avec NIS-1, 300 entités ont été désignées par la France en tant qu’Opérateurs de Services Essentiels (OSE), avec un délai de mise en conformité.

 

Fin 2020, la Commission européenne a décidé d’étendre le périmètre et les ambitions de la directive au vu de la menace grandissante : de nouvelles cibles ont été rapportées, les conséquences dramatiques des rançongiciels/ ransomwares de plus en plus agressifs, et la vulnérabilité accrue de la chaîne d’approvisionnement. C’est un exercice plus carré que NIS-1, qui répond à une prise de conscience massive à l’échelle européenne, qui est d’intégrer les premiers éléments de base de la cybersécurité et d’accroître les exigences proportionnellement face aux enjeux des entités et des secteurs concernés.

 

Quelques termes clés

 

 

  • Réseaux et systèmes d’information : infrastructures technologiques qui permettent le traitement et la communication de données. 

 

  • Entités essentielles : elles correspondent aux entités de taille intermédiaire et grande. Les seuils sont les suivants : nombre d’employés supérieur ou égal à 250 OU CA supérieur ou égal à 50 millions d’euros OU bilan annuel supérieur ou égal à 43 millions d’euros.

 

  • Entités importantes : ce sont l’ensemble des entités qui ne rentrent pas dans les critères des entités essentielles.

 

  • ANSSI : l’agence nationale de la sécurité des systèmes d’information supervisera la mise en place de cette directive de la même manière que pour NIS-1.

 

 

Les objectifs de la directive NIS-2 

 

La directive NIS-2 vise à : 

 

  • Renforcer la sécurité des réseaux et systèmes d’information en imposant des obligations de sécurité plus strictes, dont l’application sera contrôlée par l’organisme de régulation national (en l’occurrence, l’ANSSI).
  • Améliorer la coopération entre les États membres de l’UE en matière de cybersécurité.
  • Augmenter la résilience des infrastructures critiques face aux cyber menaces.
cybersécurité en entreprise en 2024

[Livre blanc] Cybersécurité en entreprise, quels sont les enjeux majeurs en 2024 et comment y répondre ?

 

Sécuriser son système d’information est un moyen de garantir la pérennité de son entreprise et plus globalement de la voir gagner en compétitivité.

 

Retrouvez dans ce livre blanc : un baromètre dressant un état des lieux de la cybersécurité au sein des entreprises françaises, et nos propositions concrètes pour se préparer aux cyberattaques de 2024 !

 

 

Télécharger le livre blanc

Qui est concerné par la NIS-2 ? 

 

Contrairement à la directive NIS originale, NIS-2 élargit la portée des entités concernées et les distingue en 2 catégories: hautement critiques et critiques.

 

Voici les principaux acteurs impactés : 

 

  1. Liste des secteurs hautement critiques :

 

Énergie : électricité, réseaux de chaleur et de froid, pétrole, gaz, hydrogène.

Transport : transports aériens, ferroviaires, maritimes et routiers. 

Secteur bancaire : établissements de crédit.

Infrastructures des marchés financiers : exploitants de plates-formes de négociation.

Santé : hôpitaux, cliniques et services de soins de santé, laboratoires de référence de l’Union européenne, entités exerçant des activités de recherche et de développement dans le domaine des médicaments, entités fabriquant des produits pharmaceutiques de base et des préparations pharmaceutiques, ou fabriquant des dispositifs médicaux considérés comme critiques en cas d’urgence de santé publique.

Eau potable : fournisseurs et distributeurs d’eau potable.

Eaux usées : entreprises collectant, évacuant ou traitant les eaux urbaines résiduaires, ménagères usées ou industrielles usées.

Infrastructure numérique : fournisseurs de points d’échange internet, de services d’informatique en nuage, de diffusion de contenu, de communications électroniques publics…

Gestion des services TIC (interentreprise) : fournisseurs de services gérés et de services de sécurité gérés.

Administrations publiques : entités centrales définies comme telles par l’Etat, entités régionales.

Espace : exploitants d’infrastructures terrestres, détenues, gérées et exploitées par les Etats membres ou par des parties privées, soutenant la fourniture de services spatiaux, à l’exclusion des fournisseurs de réseaux de communications électroniques publics.

 

  1. Liste des secteurs critiques:

 

Services postaux et de courrier : entreprises de logistique et de distribution de courrier.

Gestion des déchets : entreprises exécutant des opérations de gestion des déchets.

Industrie chimique : entreprises procédant à la fabrication et distribution de substances ou mélanges. 

Production, transformation et distribution des denrées alimentaires : organisations du secteur alimentaire, distribution en gros, production et transformation industrielles.

Fabrication : fabrication de dispositifs médicaux, de produits informatiques, électroniques et optiques, d’équipements électriques, de machines et d’équipements n.c.a., d’autres matériels de transports.

Infrastructures numériques : fournisseurs de places de marché en ligne, de moteurs de recherche en ligne, de plateformes de services de réseaux sociaux.

Recherche.

 

Pour en savoir plus sur les secteurs et types d’entreprises concernés par la mise en place de la directive, vous pouvez consulter la liste sur le site de l’ANSSI.

La directive NIS 2 représente une étape significative vers une meilleure cybersécurité en Europe. Les PME et ETI industrielles doivent évaluer leur conformité à cette nouvelle réglementation et prendre les mesures nécessaires pour protéger leurs données critiques et leur système. En adoptant une approche proactive, elles pourront non seulement éviter les sanctions mais aussi renforcer leur résilience face aux cyber menaces.

 

Bien que certaines petites entreprises puissent être exemptées, les PME et ETI opérant dans les secteurs hautement critiques et critiques doivent prêter une attention particulière à cette directive. La non-conformité peut entraîner des sanctions importantes, y compris des amendes substantielles et des restrictions opérationnelles. De plus, se conformer à NIS 2 améliore la résilience de l'entreprise face aux cyber menaces croissantes, protégeant ainsi les données sensibles et la réputation de l'entreprise.

 

Pour plus d'informations sur la conformité à la directive NIS 2 et comment préparer votre entreprise, consultez les ressources disponibles sur les sites officiels de l'Union européenne et des autorités nationales de cybersécurité.

 

Besoin d'évaluer votre conformité NIS-2 ?

Ces contenus pourraient également vous intéresser

Cybersécurité en entreprise

Le 29/03/2024

[Livre blanc] Cybersécurité en entreprise, quels sont les enjeux majeurs en 2024 et comment y répondre ?

Découvrez les enjeux en 2024 de la cybersécurité pour les PME et ETI et solutions pour protéger votre système informatique !

Découvrir
Puressentiel accélère la mise en œuvre de sa cybersécurité avec Visiativ Cyber Pilot

Dans cette vidéo, le laboratoire de santé naturelle Puressentiel explique l'importance de faire progresser sa maturité cybersécurité à l'aide d'experts et via la plateforme cybersécurité Visiativ Cyber Pilot.

Découvrir
Baromètre de la transformation digitale

Le 02/04/2024

[Baromètre] La transformation digitale des PME et ETI industrielles – édition 2024

Téléchargez la première édition 2024 du baromètre de la transformation digitale des PME et ETI industrielles.

Découvrir
Cyber WAF

Cyberattaques : Comment répondre à la menace ?

Dans ce webinaire, découvrez les principales cybermenaces, leur impact et les solutions de prévention des risques grâce à Visiativ Cyber.

Découvrir

Les solutions faites pour vous

Visiativ Cyber Pilot

Maîtriser sa sécurité informatique

Pilotez la protection de vos données et systèmes pour pérenniser votre entreprise et l'ensemble de votre écosystème.

Découvrir notre offre

Visiativ Cyber WAF

Protéger vos applications et données sur le web

Bloquez immédiatement 100% des cyber menaces avant même qu'elles atteignent vos serveurs, sans intervention de votre part

Découvrir

Diagnostic Cybersécurité

Contrôler régulièrement votre sécurité informatique

Évaluez votre sécurité informatique pour comprendre vos menaces, expositions et risques

Découvrir

Plateforme de pilotage

Pilotez votre niveau de sécurité

Diagnostiquer et piloter la cybersécurité de votre entreprise au travers d'une plateforme digitale

Découvrir

Inscrivez-vous à nos Newsletters