Le 29 août 2024
La directive NIS-2 (Network and Information Security 2) est une mise à jour de la directive NIS (Network and Information Security) initialement introduite par l’Union Européenne en 2016. Son objectif principal est de renforcer la cybersécurité à travers l’Europe en mettant en place des mesures strictes pour protéger les réseaux et les systèmes d’information essentiels. Pour les DSI et RSSI, comprendre qui est concerné par cette directive et quels sont les objectifs de NIS-2 est le premier pas vers une conformité réussie.
Une première directive NIS-1 a vu le jour en 2016 à l’échelle européenne. NIS-1 permettait un renforcement des capacités de coopération à l’échelle européenne en matière de sécurité des systèmes informatiques. Il y avait déjà à ce moment-là une obligation pour les Etats membres de définir une stratégie nationale de cybersécurité et de désigner une autorité compétente qui pouvait vérifier l’application de cette directive pour les entités concernées. Cette mesure impliquait aussi la mise en du Groupe de Coopération (GC) de manière à se coordonner dans la déclinaison et dans sa transposition à l’échelle nationale, dans sa mise en œuvre au quotidien afin de favoriser le retour d’expérience entre les différentes nations.
Avec NIS-1, 300 entités ont été désignées par la France en tant qu’Opérateurs de Services Essentiels (OSE), avec un délai de mise en conformité.
Fin 2020, la Commission européenne a décidé d’étendre le périmètre et les ambitions de la directive au vu de la menace grandissante : de nouvelles cibles ont été rapportées, les conséquences dramatiques des rançongiciels/ ransomwares de plus en plus agressifs, et la vulnérabilité accrue de la chaîne d’approvisionnement. C’est un exercice plus carré que NIS-1, qui répond à une prise de conscience massive à l’échelle européenne, qui est d’intégrer les premiers éléments de base de la cybersécurité et d’accroître les exigences proportionnellement face aux enjeux des entités et des secteurs concernés.
La directive NIS-2 vise à :
[Livre blanc] Cybersécurité en entreprise, quels sont les enjeux majeurs en 2024 et comment y répondre ?
Sécuriser son système d’information est un moyen de garantir la pérennité de son entreprise et plus globalement de la voir gagner en compétitivité.
Retrouvez dans ce livre blanc : un baromètre dressant un état des lieux de la cybersécurité au sein des entreprises françaises, et nos propositions concrètes pour se préparer aux cyberattaques de 2024 !
Contrairement à la directive NIS originale, NIS-2 élargit la portée des entités concernées et les distingue en 2 catégories : hautement critiques et critiques.
Voici les principaux acteurs impactés :
– Énergie : électricité, réseaux de chaleur et de froid, pétrole, gaz, hydrogène.
– Transport : transports aériens, ferroviaires, maritimes et routiers.
– Secteur bancaire : établissements de crédit.
– Infrastructures des marchés financiers : exploitants de plates-formes de négociation.
– Santé : hôpitaux, cliniques et services de soins de santé, laboratoires de référence de l’Union européenne, entités exerçant des activités de recherche et de développement dans le domaine des médicaments, entités fabriquant des produits pharmaceutiques de base et des préparations pharmaceutiques, ou fabriquant des dispositifs médicaux considérés comme critiques en cas d’urgence de santé publique.
– Eau potable : fournisseurs et distributeurs d’eau potable.
– Eaux usées : entreprises collectant, évacuant ou traitant les eaux urbaines résiduaires, ménagères usées ou industrielles usées.
– Infrastructure numérique : fournisseurs de points d’échange internet, de services d’informatique en nuage, de diffusion de contenu, de communications électroniques publics…
– Gestion des services TIC (interentreprise) : fournisseurs de services gérés et de services de sécurité gérés.
– Administrations publiques : entités centrales définies comme telles par l’Etat, entités régionales.
– Espace : exploitants d’infrastructures terrestres, détenues, gérées et exploitées par les Etats membres ou par des parties privées, soutenant la fourniture de services spatiaux, à l’exclusion des fournisseurs de réseaux de communications électroniques publics.
– Services postaux et de courrier : entreprises de logistique et de distribution de courrier.
– Gestion des déchets : entreprises exécutant des opérations de gestion des déchets.
– Industrie chimique : entreprises procédant à la fabrication et distribution de substances ou mélanges.
– Production, transformation et distribution des denrées alimentaires : organisations du secteur alimentaire, distribution en gros, production et transformation industrielles.
– Fabrication : fabrication de dispositifs médicaux, de produits informatiques, électroniques et optiques, d’équipements électriques, de machines et d’équipements n.c.a., d’autres matériels de transports.
– Infrastructures numériques : fournisseurs de places de marché en ligne, de moteurs de recherche en ligne, de plateformes de services de réseaux sociaux.
– Recherche.
Pour en savoir plus sur les secteurs et types d’entreprises concernés par la mise en place de la directive, vous pouvez consulter la liste sur le site de l’ANSSI.
La directive NIS 2 représente une étape significative vers une meilleure cybersécurité en Europe. Les PME et ETI industrielles doivent évaluer leur conformité à cette nouvelle réglementation et prendre les mesures nécessaires pour protéger leurs données critiques et leur système. En adoptant une approche proactive, elles pourront non seulement éviter les sanctions mais aussi renforcer leur résilience face aux cyber menaces.
Bien que certaines petites entreprises puissent être exemptées, les PME et ETI opérant dans les secteurs hautement critiques et critiques doivent prêter une attention particulière à cette directive. La non-conformité peut entraîner des sanctions importantes, y compris des amendes substantielles et des restrictions opérationnelles. De plus, se conformer à NIS 2 améliore la résilience de l'entreprise face aux cyber menaces croissantes, protégeant ainsi les données sensibles et la réputation de l'entreprise.
Pour plus d'informations sur la conformité à la directive NIS 2 et comment préparer votre entreprise, consultez les ressources disponibles sur les sites officiels de l'Union européenne et des autorités nationales de cybersécurité.
Ces contenus pourraient également vous intéresser
Le 29/03/2024
Découvrez les enjeux en 2024 de la cybersécurité pour les PME et ETI et solutions pour protéger votre système informatique !
DécouvrirDans cette vidéo, le laboratoire de santé naturelle Puressentiel explique l'importance de faire progresser sa maturité cybersécurité à l'aide d'experts et via la plateforme cybersécurité Visiativ Cyber Pilot.
Le 02/04/2024
Téléchargez la première édition 2024 du baromètre de la transformation digitale des PME et ETI industrielles.
DécouvrirDans ce webinaire, découvrez les principales cybermenaces, leur impact et les solutions de prévention des risques grâce à Visiativ Cyber.
DécouvrirPilotez la protection de vos données et systèmes pour pérenniser votre entreprise et l'ensemble de votre écosystème.
Découvrir notre offreBloquez immédiatement 100% des cyber menaces avant même qu'elles atteignent vos serveurs, sans intervention de votre part
DécouvrirÉvaluez votre sécurité informatique pour comprendre vos menaces, expositions et risques
DécouvrirDiagnostiquer et piloter la cybersécurité de votre entreprise au travers d'une plateforme digitale
DécouvrirInscrivez-vous à nos Newsletters
En savoir plus sur