La directive NIS 2 (Network and Information System Security) représente un jalon important dans le paysage de la cybersécurité européenne, avec des implications significatives pour un large éventail d’entités. Pour mieux comprendre ces changements, examinons de près les nouveautés de la NIS 2 par rapport à son prédécesseur, la directive NIS 1.
Changements sémantiques et périmètre d’application
La directive NIS 2 introduit une terminologie plus large en remplaçant les termes “opérateurs” et “OSE” par “entités”. Cela élargit le champ d’application de la directive à 35 secteurs d’activité. Si votre organisation se trouve dans l’un de ces secteurs et que le Chiffre d’affaires est supérieur à 10M€ ou si le nombre d’employés est supérieur à 50, elle est concernée par la NIS 2.
Flexibilité et adaptabilité pour la France
La France a la possibilité d’ajouter des entités non listées dans les annexes, basées sur une analyse de risque nationale et d’exclure certaines entités pour des raisons de défense et de sécurité nationale. Cette flexibilité permet d’adapter la directive aux spécificités nationales tout en garantissant un niveau élevé de sécurité. Cette liste définitive sera communiquée dans le courant de l’année 2024.
Distinction entre Entités Essentielles et Importantes
La directive NIS 2 différencie les entités essentielles des entités importantes, avec des niveaux de contrôle et de sanctions différents. Les entités essentielles, généralement de grande taille et opérant dans des secteurs hautement critiques, seront soumises à des contrôles plus stricts et à des sanctions plus sévères.
Renforcement des Sanctions et Nouvelles Mesures de Sécurité
La NIS 2 renforce également les sanctions financières et pénales, introduisant la responsabilité des directions en cas de manquement à la cybersécurité. Les sanctions financières peuvent atteindre jusqu’à 2 % du chiffre d’affaires, reflétant l’ampleur des menaces cybernétiques actuelles.
En outre, la directive impose dix mesures de sécurité obligatoires, couvrant des domaines allant de l’analyse des risques à la sécurité de la chaîne d’approvisionnement. Bien que les détails de ces mesures restent à définir, leur mise en œuvre sera différenciée entre les entités essentielles et importantes.