La directive NIS – Une révision Européenne appelant NIS2

10/11/2023 skem Articles 0

Site partenaire de prestation

https://sokem.fr

Le texte de la directive révisée (Network Internet Security), dite NIS2

A partir de sa publication, les états membres EU auront 21 mois pour la transposer dans leur droit national. Les organisations concernées peuvent commencer à se préparer dès à présent.

Quel est l’objectif de cette révision ?

À la suite de l’augmentation d’intrusions dans les systèmes d’information de secteurs sensibles entre 2020 et 2021 et l’interdépendance croissante de ces derniers, la révision de la directive NIS appliquée depuis 2019 est motivée par :

  • L’homogénéisation du niveau de sécurité des entreprises et des administrations au sein de l’Union européenne
  • La coordination rapide entre les états membres pour répondre à grande échelle en cas d’incidents significatifs ou de cyber menaces via 3 types d’acteurs (les centres de réponse aux incidents de sécurité informatique, la nouvelle institution EU-CyCLONe et le Groupe de Coopération NIS)

Le détail de mesures techniques et organisationnelles ainsi que l’extension de la directive à de nouveaux acteurs privés et publics tend ainsi à prévenir plus efficacement les attaques par rebond ou de la supply chain.

Les sanctions sont dissuasives : en cas de non-respect de ce texte, une organisation contrevenante est exposée au paiement d’une amende pouvant s’élever jusqu’à 10 millions d’euros ou 2 % de son chiffre d’affaires annuel mondial. La responsabilité des personnes qui occupent des postes de représentation ou de direction peut également être engagée.

Quelles sont les entités concernées ?

La directive NIS2 conserve le périmètre de sa version précédente en s’adressant aux entités anciennement répertoriées comme des Opérateurs de Services Essentiels (OSE) qui, selon l’ANSSI, « fournissent un service essentiel dont l’interruption aurait un impact significatif sur le fonctionnement de l’économie ou de la société » :

  • Les banques,
  • Les marchés financiers,
  • L’énergie,
  • La santé,
  • Les transports,
  • Les réseaux de télécommunications…

A ces acteurs, s’ajoutent de nouveaux secteurs ainsi que leurs prestataires et sous-traitants (par exemple les ESN, entreprises de services numériques), avec une distinction faite entre entités essentielles (EE) et entité importantes (EI) :

  • Le secteur de l’eau (EE)
  • Les infrastructures numériques : fournisseurs d’accès à internet, de DNS, de datacenters etc. (EE)
  • Les administrations publiques (EE)
  • Le secteur de l’Espace (EE)
  • La recherche (EE)
  • Les grands distributeurs alimentaires (EI)
  • La gestion des déchets (EI)
  • Les services postaux (EI)
  • La fabrication de certains produits sensibles (chimiques, médicaux etc.) (EI)
  • Les fournisseurs de services numériques (marketplace en ligne, moteurs de recherche, plateformes de services de réseaux sociaux…) (EI)

Hormis certaines exceptions, seules les moyennes et grandes entreprises devront se mettre en conformité vis-à-vis de la NIS2. Les états membres restent néanmoins libres d’inclure les petites entreprises de certains secteurs et certaines collectivités territoriales. Au plus tard 6 mois après le délai de transposition, ils devront donc établir une liste des entités essentielles et importantes et la mettre à jour au moins tous les deux ans.

Soyez le premier à commenter

Poster un Commentaire

Votre adresse de messagerie ne sera pas publiée.


*