NIS 2 : Une directive invisible qui va pourtant tout changer… pour tous
La cybersécurité entre dans une nouvelle ère en Europe. Il serait judicieux de s'y préparer.
Il y a quelques jours, le 17 octobre 2024, la directive européenne NIS 2 est entrée en vigueur. Cette mise en application s’est faite, en France, dans beaucoup d’indifférence. La directive est encore peu connue du grand public (voire des entreprises), ce qui est assez paradoxal au vu de son importance.
D’ailleurs, il est possible que vous qui lisez ces lignes sans savoir ce qu’est NIS 2, alors commençons par ça.
La directive NIS, pour Network and Information Systems, est une législation européenne de 2016 visant à renforcer la cybersécurité et la résilience des infrastructures critiques et des services numériques essentiels. La version 2 élargit le champ d'application par rapport à la première directive, incluant désormais plus de secteurs et d'entreprises1. Elle impose des obligations plus strictes en matière de gestion des risques, de gouvernance de la cybersécurité et de notification des incidents.
C'est une réponse aux menaces croissantes dans le domaine numérique. Si la directive est avant tout à destination des entreprises identifiées comme essentielles (EE) et importantes (EI), même si vous ne travaillez pas dans le nucléaire ou les médias, vous pourriez être concernés.
L’une des particularités de NIS dans sa version 2 est qu’elle étend le périmètre des responsabilités aux sous-traitants et fournisseurs des 10 000 et quelques entités françaises aujourd’hui identifiées par l’ANSSI2 comme EE ou EI.
Les obligations ne sont pas encore clairement définies et les États membres ont jusqu’à janvier pour rendre leur copie sur les règles et mesures adoptées pour se conformer aux directives. Ce qui peut expliquer l’absence de mouvement dans beaucoup d’entreprises.
Mais avec des amendes allant jusqu'à 10 millions d'euros ou 2 % de leur chiffre d'affaires annuel mondial, on peut imaginer que les mesures de gestions des risques vont déborder sur tout ce qui touche de près ou de loin au SI des organisations concernées… y compris la gestion de leurs fournisseurs. Avec la transformation digitale des entreprises, on a de plus en plus d’interconnexions possibles entre les entreprises, et donc d’autant plus de surface d’exposition à des risques cyber.
Aujourd’hui, la façon dont NIS 2 sera transposée en France est encore floue, mais vous l’aurez compris, ses impacts sur l’ensemble du tissu économique et administratif français seront considérables.
Quel que soit votre domaine d’activité, il y a fort à parier que vous soyez concernés (de manière plus ou moins directe) par cette directive dans les années à venir. Je vous invite donc fortement à vous y intéresser, et à réfléchir dès maintenant à la gouvernance de la cybersécurité dans votre entreprise, ainsi qu’aux moyens humains et financiers à y dédier.
Si vous avez des amis ou des collègues pour qui la directive NIS 2 est peut-être passée inaperçue malgré l’importance de son impact, n’hésitez pas à partager cet article avec eux. Abonnez-vous si ce n’est pas déjà fait, et si vous avez des projets de transformation digitale, en lien ou non avec la cybersécurité, parlons en ensemble !
Entreprises Essentielles (EE) : Administrations publiques, Eaux potables, Eaux usées, Énergies, Espace, Gestion des services Technologies de l’Information et de la Communication (interentreprises), Infrastructures des marchés financiers, Infrastructures numériques, Santé, Secteur bancaire
Entreprises Importantes (EI) : Fabrication, production et distribution de produits chimiques, Fournisseurs numériques, Gestion des déchets, Industrie manufacturière, Production, transformation et distribution de denrées alimentaires, Recherche, Services postaux et d’expédition
Agence Nationale de la Sécurité des Systèmes d’Information