Êtes-vous prêt pour la directive NIS 2 ?
Paul Fouquet
23/05/2025
La directive NIS 2 constitue une mise à jour du cadre réglementaire européen visant à renforcer la cybersécurité au sein des États membres. Elle fait suite à la première directive sur la sécurité des réseaux et systèmes d'information (NIS), qui représentait la première initiative législative de l'Union européenne en matière de cybersécurité.
Adoptée officiellement par l’Union européenne le 16 janvier 2022, la directive NIS 2 impose aux États membres de l’intégrer dans leur législation nationale au plus tard le 17 octobre 2024.
Êtes-vous concerné par NIS 2 ?
La directive s'applique aux entités dites "essentielles" (EE) et "importantes" (EI), selon leur secteur d'activité et leur taille.
- Entités essentielles (EE) : englobent des secteurs tels que l'énergie, les transports, la santé, les infrastructures numériques, les administrations publiques, etc.
- Entités importantes (EI) : concernent des secteurs comme les services postaux, la gestion des déchets, la production alimentaire, la recherche, etc.
Pour déterminer si votre organisation est concernée, l'ANSSI mets à disposition un simulateur.
Quelles sont vos obligations ?
Les entités concernées devront mettre en place des mesures techniques, organisationnelles et opérationnelles pour assurer la sécurité de leurs réseaux et systèmes d'information. Parmi ces obligations :
- Gestion des risques : évaluation des risques cyber, mise en place de politiques de sécurité, gestion des incidents, continuité d'activité, etc.
- Sécurité de la chaîne d'approvisionnement : vérification des pratiques de cybersécurité des fournisseurs et prestataires.
- Formation et sensibilisation : formation des collaborateurs à la cybersécurité et aux bonnes pratiques.
- Contrôle des accès : mise en place de mécanismes d'authentification forte, gestion des droits d'accès, etc,
- Notification des incidents : obligation de signaler tout incident significatif à l'ANSSI dans un délai de 24 heures, suivi d'un rapport détaillé dans les 72 heures.
Quelles sanctions en cas de non-conformité ?
Le non-respect des obligations de la directive NIS 2 expose les entités à des sanctions financières importantes :
- Entités essentielles (EE) : amende pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu.
- Entités importantes (EI) : amende pouvant atteindre 7 millions d'euros ou 1,4 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu.
De plus, les dirigeants peuvent être tenus personnellement responsables en cas de manquements répétés, avec des sanctions allant jusqu'à l'interdiction temporaire d'exercer des fonctions de direction.
Quelles sont les premières actions à mener ?
Pour anticiper la mise en conformité avec la directive NIS 2, il est recommandé de :
- Évaluer votre exposition : identifiez si votre organisation est classée comme EE ou EI.
- Réaliser un audit de cybersécurité : analysez la maturité de votre système d'information et identifiez les vulnérabilités.
- Mettre en place un plan d'action : définissez les mesures à adopter pour combler les lacunes identifiées.
- Former vos équipes : sensibilisez vos collaborateurs aux enjeux de la cybersécurité et aux bonnes pratiques.
- Mettre à jour vos procédures : assurez-vous que vos politiques de sécurité, de gestion des incidents et de continuité d'activité sont conformes aux exigences de NIS 2.
Analysez la maturité de votre entreprise à NIS1
Identifiez vos zones de vulnérabilités NIS 1 et menez les actions de remédiation pertinentes afin de constituer une base solide pour démarrer avec NIS 2
Disposez-vous des procédures et des mesures de déploiement suffisantes pour être en conformité avec les 23 règles de sécurité NIS ?
Senosen vous accompagne dans vos projets. Prenez contact avec nous !
