NIS2 : quels changements pour les entreprises en 2024 ?

La directive sur la sécurité des réseaux et des données : Network and Information Security (NIS) représente un jalon crucial pour l’Union Européenne pour répondre à l’évolution des menaces cyber. Initiée en 2016 avec NIS1, cette directive a évolué vers la NIS2, adoptant des mesures plus étendues et ambitieuses pour renforcer la protection des entités critiques et importantes. Cette directive impacte dix-huit secteurs d’activité – administrations et entreprises, des PME aux grands groupes – qui devront s’adapter à des exigences de sécurité renforcées.

Élargissement des objectifs et périmètre d’application

Extension du périmètre d’application

NIS2 représente une avancée majeure dans la réglementation en matière de cyber-sécurité, étendant ses objectifs à de nombreux secteurs d’activité et à des milliers d’entités. Cette extension vise à mieux protéger les entités mal protégées et expose un changement majeur dans la manière dont les réglementations abordent la cybersécurité.

Cette directive impactera divers acteurs, y compris des administrations publiques. Cette réglementation exigera des efforts importants de préparation et de mise en conformité pour des milliers d’organisations à travers l’UE. Les entités concernées devront renforcer leur niveau de sécurité pour répondre aux exigences différenciées en fonction de leur niveau de criticité.

Catégorisation des entités et régime de sanctions

En effet, un aspect novateur de NIS2 réside dans sa catégorisation des entités régulées en fonction de leur criticité. Elle distingue les entités essentielles des entités importantes, permettant à l’ANSSI de définir des exigences adaptées à chaque catégorie. De plus, la directive prévoit un régime de sanction renforcé, comparable à celui du RGPD (pour lequel Extern DPO vous accompagne déjà) en cela qu’il pourra se baser sur un pourcentage du chiffre d’affaires mondial de l’entité concernée

Stratégies de mise en œuvre et communication

Préparation anticipée et accompagnement

L’ANSSI s’engage activement dans la préparation à la transposition de la NIS2, initiant un dialogue avec les parties prenantes et les associations pertinentes. Cette approche de co-construction vise à garantir la pertinence et la viabilité des exigences réglementaires pour un niveau de préparation efficace face aux risques permanents de sécurité informatique.

Elle prévoit des actions de sensibilisation et de conseil, tout en fournissant les outils nécessaires pour faciliter la conformité. L’objectif affiché est de soutenir les entités concernées afin d’élever le niveau général de sécurité numérique en France plutôt que d’opter pour un contrôle strict.

Communication continue et sessions dédiées

Tout au long de cette phase de transition, l’ANSSI continuera à communiquer régulièrement avec le public, partageant les progrès accomplis dans la mise en œuvre de la directive dont le texte officiel sera publié courant 2024 pour une mise en application en octobre de la même année. Elle invitera également les entités concernées à des sessions spécifiques dédiées NIS2 pour clarifier les attentes et offrir un espace d’échange sur les implications de cette législation.

 

Pour répondre aux nouvelles exigences de la directive NIS2, avec Extern IT: les entreprises de Lille et ses environs peuvent bénéficier de l’accompagnement d’un experts en cybersécurité dans le nord, certifiées ExpertCyber par Cybermalveillance, pour déterminer le niveau de maturité de la sécurité de leur SI puis les accompagner dans la mise en œuvre des mesures de sécurité tendant vers la norme ISO27001.