Pour répondre aux menaces croissantes posées par la numérisation et l'augmentation des cyber-attaques, la Commission européenne a présenté une proposition visant à remplacer la directive NIS par la directive NIS2. Celle-ci renforcera les exigences en matière de sécurité, abordera la question de la sécurité des chaînes d'approvisionnement, rationalisera les obligations de déclaration et introduira des mesures de surveillance et des exigences d'application plus strictes, y compris des sanctions harmonisées dans l'ensemble de l'UE.

L'objectif principal de la directive NIS2 est de renforcer la cybersécurité et la résilience des infrastructures critiques et des fournisseurs de services numériques au sein de l'Union européenne.

Parmi les principales différences entre l'ancienne et la nouvelle directive figurent des dispositions plus précises sur le processus de notification des incidents, le contenu des rapports et le délai (dans les 24 heures suivant la découverte de l'incident). Au niveau européen, NIS2 renforce la cybersécurité des principales technologies de l'information et de la communication. Les États membres devront procéder à des évaluations coordonnées des risques des chaînes d'approvisionnement critiques en coopération avec la Commission et l'ENISA, l'agence de l'Union Européenne pour la cybersécurité.

Lisez notre brochure pour en savoir plus sur les différences entre l'ancienne et la nouvelle directive.

Le NIS2 concerne toutes les organisations qui fournissent des services essentiels ou importants à l'économie et à la société européennes.   

Si votre organisation entre dans l'une des catégories ci-dessous, le NIS2 s'applique à vous.

Entités essentielles (EE)
Seuil de taille : variable selon le secteur, mais généralement 250 employés, chiffre d'affaires annuel de 50 millions d'euros ou bilan de 43 millions d'euros :

• Énergie 
• Transport 
• Finance 
• Administration publique 
• Santé 
• Aérospatial 
• Approvisionnement en eau (potable et usée) 
• Infrastructure numérique (par exemple, fournisseurs de services d'informatique Cloud et gestion des TIC)

Entités importantes (IE) 

Seuil de taille : varie selon le secteur, mais généralement 50 employés, chiffre d'affaires annuel de 10 millions d'euros ou bilan de 10 millions d'euros.

• Services postaux 
• Gestion des déchets 
• Produits chimiques 
• Recherche 
• Alimentation 
• Industrie manufacturière 
• Fournisseurs numériques (par exemple, réseaux sociaux, moteurs de recherche, marchés en ligne)

Les industries initialement couvertes par la directive initiale resteront dans le champ d'application de la directive NIS2 actualisée. En outre, certaines organisations plus petites, considérées comme essentielles au fonctionnement d'un État membre, seront intégrées dans le cadre du NIS2 afin de répondre aux problèmes potentiels qui pourraient survenir en cas de cyberattaque les affectant.

La directive NIS2 reconnaît également que certains secteurs peuvent déjà disposer d'une législation en matière de cybersécurité. Lorsque ces lois sectorielles offrent des mesures de cybersécurité comparables ou supérieures à celles spécifiées dans la directive NIS2, ces entités ne seront pas couvertes par les sections applicables de la directive. Toutefois, les dispositions de la directive NIS2 continueront à s'appliquer aux organisations qui ne sont pas couvertes par ces législations sectorielles.

La directive NIS2 introduit de nouvelles obligations pour les organisations dans quatre domaines principaux : la gestion des risques, la responsabilité des entreprises, les obligations d'information et la continuité des activités. 

• Gestion des risques 

Les organisations doivent réduire les cyber-risques pour se conformer à la nouvelle directive. La gestion des incidents, l'amélioration de la sécurité de la chaîne d'approvisionnement, le renforcement de la sécurité des réseaux, l'amélioration du contrôle d'accès et le cryptage font partie des méthodes mises en œuvre.

• Responsabilité des entreprises

La NIS2 impose à la direction de l'entreprise de superviser et d'approuver les procédures de cybersécurité de l'entité, d'être formée à ces procédures et de faire face aux cyber-risques. En cas d'infraction, la direction peut être sanctionnée, notamment par la mise en jeu de sa responsabilité et l'exclusion temporaire de ses fonctions de direction.

• Obligation de rendre des comptes 

Les entités essentielles et cruciales doivent mettre en place des systèmes de notification des événements de sécurité ayant un impact majeur sur leur offre de services ou leurs destinataires, et ce dans les plus brefs délais. Le NIS2 précise les délais de notification, par exemple une "alerte précoce" de 24 heures.

• Continuité des activités 

Les organisations doivent planifier la manière dont elles maintiendront la continuité de leurs activités en cas d'incidents cybernétiques graves. Cette stratégie doit prendre en compte la récupération des systèmes, les procédures d'urgence et la formation d'une équipe d'intervention en cas de crise.

Un bon moyen de s'assurer que votre entreprise répond aux exigences du NIS2 est d'obtenir la certification ISO 27001 (la directive NIS2 fait spécifiquement référence à la norme ISO 27001). Bien que la norme ISO 27001 (sécurité de l'information, cybersécurité et protection de la vie privée) et la directive NIS2 aient des objectifs différents, elles se complètent efficacement. La norme ISO 22301, quant à elle, couvre certains aspects de la gestion de la continuité des activités (BCM), ce qui renforce encore l'approche globale de la mise en œuvre de la directive NIS2. 

Consultez notre outil pour obtenir un aperçu accessible du processus de comparaison entre NIS2 et la norme ISO/IEC 27001.

En plus des normes 27001 et 22301, nous pouvons effectuer une analyse des lacunes pour votre entreprise. Nos experts identifieront les exigences auxquelles vous répondez déjà et les mesures qu'il vous reste à prendre pour vous conformer à la directive NIS2.  

L'un des éléments clés de la directive NIS2 étant les normes d'évaluation de la sécurité de la chaîne d'approvisionnement, votre organisation pourrait avoir besoin d'un audit de la chaîne d'approvisionnement. C'est un autre domaine dans lequel vous pouvez compter sur notre soutien professionnel pour vous aider à atteindre la conformité NIS2.

Approfondissez votre compréhension de la conformité à la norme NIS2 :

• Lisez notre brochure pour en savoir plus sur la manière dont les normes ISO/IEC 27001 et ISO 22301 contribuent à garantir la conformité à la directive NIS2 ou
• Consultez notre outil de comparaison facile à utiliser pour comparer les éléments du NIS2 avec ceux de la norme ISO/IEC 27001.

Les États membres ont jusqu'au 17 octobre 2024 pour transposer la directive NIS2 dans le droit national applicable. 

Si vous ne vous conformez pas à la directive NIS2, alors que votre organisation entre dans son champ d'application, vous êtes passible d'une amende pouvant atteindre 10 millions d'euros ou 2% du chiffre d'affaires annuel mondial total (le montant le plus élevé étant retenu). Outre l'amende, des sanctions non pécuniaires et des sanctions pénales pour les dirigeants peuvent également être imposées.  

En ce qui concerne les amendes administratives, la directive NIS2 établit une distinction claire entre les entités essentielles et les entités importantes.  

Si vous souhaitez obtenir plus de détails sur les sanctions en cas de non-conformité, téléchargez notre brochure.