NIS 2 : Une nouvelle directive pour renforcer la cybersécurité sur le marché européen

NIS 2 : Une nouvelle directive pour renforcer la cybersécurité sur le marché européen

15 nov. 2023Cyber4 minutes
Linkedin

Renforcement de la Cybersécurité Industrielle : Impact de la Directive NIS2 sur la Protection des Infrastructures Critiques

Une nouvelle directive (Network and Information Security, version 2), plus ambitieuse que la première mesure a été adopté en janvier 2023 au Parlement & au Conseil de l’Union Européenne afin de protéger davantage les entreprises contre des cybermenaces. Elle entrera en vigueur au plus tard au deuxième semestre 2024 en France.

Qu’est-ce qui change avec la NIS v2 ?

Face à l'augmentation des cybermenaces résultant de la transformation numérique et de l'interconnexion des pays de l’Union Européenne, le Parlement et le Conseil de l'Union européenne ont adopté en 2016 une première série de mesures visant à renforcer la cybersécurité sur le marché européen. Cette directive est connue sous le nom de NIS 1. Elle imposait aux acteurs majeurs de dix secteurs d'activité, soit quelques centaines d'entités en France, l'obligation de déclarer leurs incidents de sécurité à l'ANSSI et de mettre en place des mesures de sécurité pour réduire les risques cyber.


La Directive NIS v2 élargit ses objectifs et son périmètre d’application pour plus de protection. Elle inclut dorénavant les PME/TPE/ETI/Collectivité territoriales suite à un rapport de l’ANSSI (Agence Nationale de la sécurité des systèmes d’information en France) qui dénombre que 60% des cyberattaques concernent ces structures. Cette nouvelle directive vise aussi à inciter les entreprises concernées à renforcer leur coopération en matière de gestion des crises cyber.

Qui est concerné par la directive NIS V2 ?

En France, NIS 2 s'appliquera aux entités essentiels (EE) et à des milliers d’entités importantes (EI) réparties dans plus de dix-huit secteurs différents :

Les différents secteurs concerné par la directive NIS 2


Les entités essentielles (EE) correspondent à l'ensemble des entités de taille intermédiaire ou grande, compris dans le secteur d'activité de l'annexe 1. Correspondant aux critères de seuils suivants :

Les différents secteurs concerné par la directive NIS 2


Les entités importantes (EI) correspondent à toutes entités du périmètre qui n'est pas essentiel au regard des critères et cas exposés sera par défaut importante.


La directive offre également la possibilité à l’ANSSI de designer des entités spécifiquement.

Qu’est ce que mon entreprise risque en cas de non-respect de cette directive ?

Pour non-respect de la directive NIS v2, les entités essentielles risquent une amende de 10 M€ ou au moins 2% du CA. Pour les entités importantes, le montant s’élève à 7M€ ou au moins 1,4% du CA


Les équipes cybersécurité DATIVE vous tiendront informés de l’évolution de la mesure et sa mise en application.

News

Nos actualités

Analyse de risques EBIOS RM : sécuriser la cybersécurité industrielle dans l’aéronautique
Cybersécurité
Analyse de risques EBIOS RM : cybersécurité industrielle dans l’aéronautique

Dans un secteur aussi critique que l’aéronautique, la cybersécurité industrielle est un enjeu stratégique majeur. Les systèmes OT, essentiels à la production, sont aujourd’hui exposés à des menaces cyber de plus en plus sophistiquées. À travers une analyse de risques basée sur la méthode EBIOS RM, DATIVE a accompagné un acteur majeur de l’aéronautique pour structurer une stratégie de cybersécurité robuste, conforme aux exigences réglementaires, tout en garantissant la continuité de sa production.

En savoir plus
Cybersécurité dans le traitement de l’eau : évaluation de cybersécurité des STEP et renforcement de leurs résilience OT
Cybersécurité
Cybersécurité dans le traitement de l’eau : évaluation de cybersécurité des STEP et renforcement de leurs résilience OT

Une collectivité de Savoie opérant une vingtaine de stations d’épuration (STEP) a mandaté nos experts DATIVE pour une évaluation de cybersécurité industrielle. Objectif : identifier les vulnérabilités OT, sécuriser l’infrastructure et bâtir un plan d’action robuste pour renforcer la résilience face aux cybermenaces.

En savoir plus
Sécurisation d’un site agroalimentaire : déploiement d’un scellement de poste avec TXOne Stellar Protect
Cybersécurité
Sécurisation d’un site agroalimentaire : déploiement d’un scellement de poste avec TXOne Stellar Protect

Face à de nouveaux enjeux cyber, un industriel agroalimentaire au nord de Paris renforce la sécurité de ses postes critiques grâce au scellement TXOne Stellar Protect, déployé par nos experts DATIVE Cybersécurité.

En savoir plus
La défense en profondeur : un principe de sûreté nucléaire devenu un pilier pour la cybersécurité industrielle
Cybersécurité
La défense en profondeur : un principe de sûreté nucléaire devenu un pilier pour la cybersécurité industrielle

Née dans le domaine de la sûreté nucléaire pour éviter tout accident majeur, la défense en profondeur est aujourd’hui un concept fondamental de la cybersécurité industrielle. Elle repose sur l’idée de couches successives de protection, appliquées aux environnements critiques, pour assurer résilience, sécurité et continuité d’activité

En savoir plus
Ces postes ne seront jamais patchés… mais ils peuvent devenir inaltérables
Cybersécurité
Ces postes ne seront jamais patchés… mais ils peuvent devenir inaltérables

Cet article vous présente une stratégie complète de durcissement postes obsolètes (aussi appelé hardening en anglais) pour renforcer votre cybersécurité industrielle. Dans les environnements industriels, nous rencontrons régulièrement des postes obsolètes (Windows 2000 SP4, XP, 7 ou anciens Windows 10). Ces postes, pourtant critiques en industrie … ne peuvent plus recevoir de correctifs : défauts de licence, incompatibilités automates, ou risques de stoppage de production.

En savoir plus
Voir toutes nos actus