La directive NIS 2

La directive europénne NIS 2 adoptée en 2022 vise à assurer un niveau élevé et harmonisé en cybersécurité dans l’ensemble de l’Union. Elle abroge la directive NIS 1 de 2016 dont l’application a montré de fortes divergences entre les États, notamment en termes de champ d’application, de niveau de sécurité et de notification des incidents. NIS 2 distingue les entités essentielles et importantes, avec un champ d’application étendu dont le périmètre est précisé dans les annexes 1 et 2 de la directive. Le liste de ces entités est maintenue à jour et revue régulièrement, au moins tous les deux ans. La transposition nationale française prend en compte les dispositions existant comme la réglementation liés aux activités d’importance vitale

Périmètre

En France, NIS 2 s’applique à des milliers d’entités appartenant à plus de dix-huit secteurs régulés : 

  • Énergie.
  •  Transport.
  • Secteur bancaire.
  • Infrastructure des marchés financiers.
  • Santé.
  • Eau potable.
  • Eaux usées.
  • Infrastructure numérique.
  • Gestion des services des technologies de l'information et de la communication.
  • Administration publique.
  •  Espace.
  • Services postaux et d'expédition.
  • Gestion des déchets.
  • Fabrication production et distribution de produits chimiques.
  • Production transformation et distribution des denrées alimentaires.
  • Fabrication (dispositifs médicaux, produits informatiques électroniques, automobile…).
  • Fournisseur numérique.
  •  Recherche.

Environ 600 types d’entités différentes sont concernés (administrations et entreprises). Les principaux critères d’intégration sont le nombre d’employés, le chiffre d’affaires et de la nature de l’activité réalisée par l’entité.

Obligations des États membres

NIS 2 fixe une série d’obligations pour les États et les institutions européennes parmi lesquelles :

  • Cadre de gestion des crises cyber : plan national, intégration au réseau européen EU CyCLONE.
  • CSIRT.
  • Suivi des vulnérabilités publiées.
  • Groupe de coopération piloté par la Commission Européenne et l’ENISA.
  • Publication d’un rapport cybersécurité bisannuel par l’ENISA.
  • Évaluation des risques liés aux chaines de sous-traitance
  • Registre des prestataires IT maintenu par l’ENISA.
  • Supervision des entités importantes et essentielles par les autorités nationales comprenant des inspections, audits, scans de vulnérabilités, demandes de preuves.
  • Amendes administratives en cas de sanction (avec un montant maximum de 1,4% du chiffre d’affaire du groupe ou 7 M € pour les entités importantes, 2% du chiffre d’affaire ou 10 M€ pour les entités essentielles).

Obligations des entités

Les entités essentielles et importantes doivent :

  • Analyser et traiter les risques de cybersécurité (voir par exemple EBIOS RMFAIRISO 27005RMF).
  • Mettre en œuvre des mesures de sécurité respectant les cadres et bonnes pratiques diffusés par les agences nationales. 
  • Mettre en place un processus de réponse aux incidentset notifier les incidents importants. 
  • Utiliser des produits et des services qualifiés dans les cas spécifiés par les autorités nationales.

 

 



DirectiveNIS, CSIRT, NIS2