La directive NIS 2 a été publiée au Journal Officiel de l’UE le 27/12/2022 et doit être transposée dans le droit par les États membres le 17/10/2024 au plus tard. La nouvelle directive européenne NIS2 (Network and Information Security) a été créée dans l’objectif d’harmoniser et de renforcer la cybersécurité du marché UE pour les administrations publiques et les entreprises de différents secteurs. Cette directive NIS 2 est conçue pour la protection des entreprises et administrations contre les cyberattaques. Les pirates malveillants font preuve d’une meilleure organisation chaque année et d’une performance de plus en plus élevée. NIS2 est donc une directive mise en place pour protéger les entités victimes des attaques des cybercriminels. Network and Information Security aura un impact important sur les entreprises de toute taille (PME, TPE, grands groupes), les administrations et les collectivités locales. La directive NIS (Network and Information Security) a été adoptée par le Parlement européen et le Conseil de l’Union européenne et visait à l’amélioration de la sécurité informatique des acteurs majeurs de 10 secteurs d’activité. Cela signifie que NIS ne concernait que quelques centaines d’organisations en France. C’est en 2018 que cette directive est passée au niveau national. Les acteurs majeurs ont été obligés de faire une déclaration à l’ANSSI de leurs incidents de sécurité et de mettre en place des actions, afin de diminuer les risques pour leurs systèmes informatiques. La directive NIS2 s’appuie sur la directive NIS 1 et provoque un changement important, que ce soit au niveau européen ou national.
Les entités concernées par la NIS2 sont :
De nombreux changements sont observés avec la directive NIS2 par rapport à la directive NIS1. La directive européenne NIS 2 impose à certaines entités d’améliorer leurs mesures de sécurité dans le cadre de la lutte contre les nouvelles formes de cyberattaques. Son but est l’établissement d’un niveau de maturité cybernétique uniforme au sein de toute l’Europe. Si la directive NIS visait au renforcement de la sécurité numérique sur le marché de l’UE dans les domaines de la communication et des technologies de l’information, NIS2 impose cette réglementation à un nombre d’entreprises et de secteurs plus important, tout en continuant de s’appliquer à ceux concernés par la NIS1 (transports, banques, établissements de santé). NIS 2 élargit son champ d’application au secteur spatial, aux plateformes de réseaux sociaux, aux services postaux, aux télécommunications, aux administrations publiques, etc. Voici ce qui change avec la directive NIS2 :
Élargissement de champ d’application à de nouveaux secteurs d’activité, tout en conservant ceux touchés par NIS1.
Extension aux entreprises du secteur privé (CAC40, grandes entreprises, PME, etc.).
Intégration d’un mécanisme de proportionnalité qui fait la différence entre deux catégories d’entités selon leur taille et leur degré de criticité. Nous retrouvons les entités importantes et les entités essentielles.
Plus de 18 secteurs d’activité au niveau national sont touchés par la directive NIS2, ce qui signifie qu’elle concerne en moyenne 600 types d’organisations différentes, des entreprises et des administrations de toute taille :
La NIS 2 est importante pour la régulation de la cybersécurité. En effet, les cyberattaques évoluent constamment, ne font qu’augmenter d’année en année et les systèmes d’information des entreprises sont toujours vulnérables. Étant donné que la menace complexe et professionnelle est en constante évolution, la mise en place de la directive NIS2 est une véritable opportunité qui permet d’avoir une meilleure protection contre les menaces des cybercriminels. De même, cette initiative mobilise le secteur public et le tissu économique national de manière significative et donne la possibilité aux États membres de renforcer leur coopération en termes de gestion de crise cyber. Enfin, cette directive permet d’offrir au réseau CyCLONe un cadre formel rassemblant l’Agence nationale de la sécurité des systèmes d’information (ANSSI) et ses homologues européens. Grâce à cette nouvelle directive européenne NIS 2, la cybersécurité est renforcée, un nombre plus important d’opérateurs sont concernés et il y a une base de référence à l’échelle européenne.
Les exigences de NIS2 sont les suivantes :