Présentation de la Directive NIS 2

 

La directive NIS 2 (Network and Information Security) est une réglementation européenne en matière de cybersécurité qui vise à renforcer la sécurité des systèmes d'information au sein de l'Union Européenne. Devant être transposée en droit français avant le 18 octobre 2024, cette directive porte sur les opérateurs de services essentiels (OSE) et les fournisseurs de services numériques (FSN), obligeant ces acteurs à mettre en place des mesures pour assurer un niveau élevé de sécurité des réseaux et des systèmes d'information.

 

Secteurs concernés par la Directive NIS 2

 

Les entreprises employant plus de 50 personnes et dont le bilan dépasse les 10 millions d'euros sont concernées par la directive NIS 2, très contraignante dans 18 secteurs d’activité tels que :

 

  • Énergie
  • Transport
  • Banque
  • Services financiers
  • Santé
  • Production et distribution d'eau
  • Communications électroniques
  • Gestion des infrastructures numériques
  • Services publics
  • Aérospatial
  • Industrie alimentaire
  • Chimie
  • Pharmaceutique
  • Défense
  • Environnement
  • Recherche et innovation
  • Tourisme
  • Administration publique et collectivités territoriales

Les mesures à mettre en place pour se conformer à la Directive NIS 2

 

Afin d'anticiper les obligations de conformité imposées par la directive NIS 2, les entreprises concernées devront :

 

  • Identifier les risques liés aux systèmes d'information
  • Mettre en œuvre des politiques de sécurité adaptées
  • Établir des plans de continuité d'activité et de réponse aux incidents
  • Sensibiliser les collaborateurs à la cybersécurité
  • Collaborer avec les autorités compétentes en matière de cybersécurité
  • Notifier les incidents ayant un impact sur la continuité des services essentiels.

Les sanctions en cas de non-conformité

 

En l’absence de conformité à la Directive NIS 2, les entreprises concernées seront sanctionnées. Les sanctions possibles comprennent des amendes administratives pouvant atteindre jusqu'à 10 % du chiffre d'affaires annuel, ou bien des sanctions pénales en cas de mise en danger de la vie d'autrui due à une défaillance dans la sécurité des systèmes d'information.

 

L'appel à une approche mutualisée face à la complexité des référentiels de cybersécurité

 

Le député Philippe Latombe alerte sur le fait que la complexité des référentiels de cybersécurité risque de les rendre impénétrables pour certaines catégories d'acteurs tels que les collectivités, les établissements de santé ou encore les PME. Il plaide donc pour une réflexion commune et une mutualisation des moyens, facilitée par l'État, afin de permettre à tous les acteurs concernés de se conformer aux exigences de la Directive NIS 2 sans pour autant mettre en danger leur activité.

 

La Directive NIS 2 est un défi majeur pour les entreprises concernées, qui devront investir dans l'amélioration de leur cybersécurité et coopérer avec les autorités compétentes pour assurer la continuité de leurs services essentiels. Toutefois, cette réglementation représente également une opportunité pour renforcer la résilience face aux cyberattaques et positionner l'Europe comme leader en matière de sécurité des systèmes d'information.