Une nouvelle directive (Network and Information Security, version 2), plus ambitieuse que la première mesure a été adopté en janvier 2023 au Parlement & au Conseil de l’Union Européenne afin de protéger davantage les entreprises contre des cybermenaces. Elle entrera en vigueur au plus tard au deuxième semestre 2024 en France.
Face à l'augmentation des cybermenaces résultant de la transformation numérique et de l'interconnexion des pays de l’Union Européenne, le Parlement et le Conseil de l'Union européenne ont adopté en 2016 une première série de mesures visant à renforcer la cybersécurité sur le marché européen. Cette directive est connue sous le nom de NIS 1. Elle imposait aux acteurs majeurs de dix secteurs d'activité, soit quelques centaines d'entités en France, l'obligation de déclarer leurs incidents de sécurité à l'ANSSI et de mettre en place des mesures de sécurité pour réduire les risques cyber.
La Directive NIS v2 élargit ses objectifs et son périmètre d’application pour plus de protection. Elle inclut dorénavant les PME/TPE/ETI/Collectivité territoriales suite à un rapport de l’ANSSI (Agence Nationale de la sécurité des systèmes d’information en France) qui dénombre que 60% des cyberattaques concernent ces structures. Cette nouvelle directive vise aussi à inciter les entreprises concernées à renforcer leur coopération en matière de gestion des crises cyber.
En France, NIS 2 s'appliquera aux entités essentiels (EE) et à des milliers d’entités importantes (EI) réparties dans plus de dix-huit secteurs différents :
Source : Webinaire ANSSI du 16/05/2023 : https://www.ssi.gouv.fr/actualite/webinaire-nis-2-presentation-de-la-directive-et-de-sa-transposition-nationale/
Les entités essentielles (EE) correspondent à l'ensemble des entités de taille intermédiaire ou grande, compris dans le secteur d'activité de l'annexe 1. Correspondant aux critères de seuils suivants :
Source : Webinaire ANSSI du 16/05/2023 : https://www.ssi.gouv.fr/actualite/webinaire-nis-2-presentation-de-la-directive-et-de-sa-transposition-nationale/
Les entités importantes (EI) correspondent à toutes entités du périmètre qui n'est pas essentiel au regard des critères et cas exposés sera par défaut importante.
La directive offre également la possibilité à l’ANSSI de designer des entités spécifiquement.
Pour non-respect de la directive NIS v2, les entités essentielles risquent une amende de 10 M€ ou au moins 2% du CA. Pour les entités importantes, le montant s’élève à 7M€ ou au moins 1,4% du CA
Les équipes cybersécurité DATIVE vous tiendront informés de l’évolution de la mesure et sa mise en application.