RGPD
La directive NIS 2, impulsée par l'Union européenne, vise à fortifier la cybersécurité. De manière significative, elle élargit la couverture contre les cybermenaces. Penchons-nous donc sur les entités concernées et les obligations légales qui en découlent.
Temps de lecture :
2 min
La directive NIS 2, impulsée par l'Union européenne, vise à fortifier la cybersécurité. De manière significative, elle élargit la couverture contre les cybermenaces. Penchons-nous donc sur les entités concernées et les obligations légales qui en découlent.
Issue de la première directive NIS de 2016, la NIS 2 se propose d'intensifier la cybersécurité. Alors que les menaces numériques s'intensifient, cette mise à jour étend son champ d'application à un plus grand nombre d'entités et de secteurs, promettant ainsi une meilleure protection.
La directive vise un large spectre d'entités, allant des administrations aux PME, opérant dans des domaines clés. Par conséquent, si votre entreprise se trouve dans l'un de ces secteurs ou répond à certains critères de taille et d'activité, elle pourrait avoir à se conformer à cette directive.
Des domaines tels que l'énergie, les transports, la santé et le numérique sont expressément visés. Par ailleurs, l'éligibilité repose sur des critères comme le nombre d'employés et le chiffre d'affaires. Il est donc crucial d'examiner ces critères pour évaluer si votre entité est concernée.
Les obligations sont nettement définies, mais certains aspects, tels que les normes de sécurité, peuvent différer. En outre, des orientations complémentaires seront partagées au niveau national.
L'ANSSI en France, ainsi que d'autres autorités compétentes au sein de l'UE, s'assureront du respect de ces nouvelles obligations. Ainsi, les entités non conformes s'exposent à des sanctions, qui seront précisées par chaque État membre.
La NIS 2 constitue une avancée notable vers une Europe numérique plus sécurisée. En vous préparant activement, vous ne répondrez pas seulement aux exigences légales, mais vous améliorerez également la robustesse de votre entité face aux cybermenaces. Pour plus d'informations sur cette réglementation et pour assurer votre conformité, explorez cyber.gouv.fr. Si vous avez besoin d'accompagnement, je suis à votre disposition pour vous aider en qualité d'avocat en cybersécurité.
Pour aller plus loin
La directive NIS 2 est le texte européen qui renforce la cybersécurité en élargissant le champ de la première directive NIS de 2016. Face à l'intensification des menaces, elle étend les obligations à un plus grand nombre d'entités et de secteurs, afin d'élever le niveau de protection des systèmes d'information dans l'Union.
NIS 2 vise un large spectre d'entités, des administrations aux PME, dans des secteurs clés comme l'énergie, les transports, la santé et le numérique. L'éligibilité repose sur le secteur d'activité et des critères de taille (effectif, chiffre d'affaires). Il faut analyser ces critères pour déterminer si l'on est concerné.
Les entités concernées doivent notifier les incidents de sécurité affectant leurs systèmes et adopter des mesures de sécurité solides pour protéger leurs systèmes d'information. Certains aspects, comme les normes précises, sont précisés au niveau national. La gouvernance et l'implication de la direction font partie des exigences.
En France, l'ANSSI est l'autorité compétente pour veiller au respect des obligations NIS 2, aux côtés des autres autorités au sein de l'UE. Les entités non conformes s'exposent à des sanctions, dont les modalités sont précisées par chaque État membre lors de la transposition de la directive.
La préparation comporte trois étapes : confirmer que l'entité relève de NIS 2, évaluer ses pratiques de cybersécurité pour repérer les écarts avec les exigences, puis planifier les ajustements nécessaires avant l'entrée en vigueur. Anticiper permet de répondre aux obligations légales tout en renforçant réellement sa sécurité.
Les entités non conformes s'exposent à des sanctions, dont les modalités sont fixées par chaque État membre lors de la transposition. Au-delà de l'amende, la responsabilité des dirigeants peut être engagée. La conformité doit donc être pilotée au plus haut niveau, et non traitée comme un simple sujet technique.
Le RGPD protège les données personnelles et impose déjà sécurité et notification des violations à la CNIL. NIS 2 vise plus largement la sécurité des réseaux et systèmes d'information, avec ses propres obligations et son autorité, l'ANSSI. Une entreprise peut relever des deux cadres, qui appellent une approche coordonnée.
Potentiellement oui, si son secteur et sa taille le font entrer dans le champ. De plus, la sécurité de la chaîne d'approvisionnement étant un volet de NIS 2, des prestataires non directement soumis peuvent être sollicités par leurs clients assujettis pour démontrer leur niveau de sécurité. Mieux vaut anticiper cette exigence.
Vous avez encore des questions ?
Notre équipe est à disposition !
Une question ?

Ressources
Aller plus loin