La directive NIS 2 imposera aux entreprises européennes de nouvelles obligations dans le but de renforcer leur cybersécurité.
En octobre prochain rentrera en vigueur une directive européenne, sonnant comme une ville française des Alpes Maritimes, mais ne nous y trompons pas, cela ne sera sans doute pas une promenade de santé ! Même si la mobilisation n’est pas la guerre, parfois cela y ressemble ! Premier checkpoint aujourd’hui : partons à la reconnaissance du terrain !…
NIS 2 : Définition
NIS 2 (pour Network & Information Systems) est le nom de baptême d’une directive européenne de mise en conformité du système d’information des entreprises et des établissements publics. Elle concerne notamment le système de gestion des identités et des droits d’accès des réseaux informatiques des organisations, mais pas seulement. Elle peut aussi par exemple concerner les fonctionnalités de cryptographie de la donnée.
Quels sont les enjeux de NIS 2 ?
Pourquoi le législateur européen vise-t-il la mise en œuvre de cette direction en 2024. Les enjeux se situent à 2 niveaux :
- Assurer un niveau commun élevé de sécurité des réseaux et des systèmes d’information au sein de l’Union de Européenne (en exigeant la mise en œuvre de mesures de sécurité autour du SI des organisations)
- Assurer la conformité des organisations en matière de cybersécurité (compliance, en bon français)
On notera que NIS 2, succède sobrement à NIS 1, adoptée en 2016, et entrée en vigueur en 2018. En France, la directive NIS 2 est également déclinée sous l’acronyme SRI 2, pour sécurité des réseaux et des systèmes d’information.
Qui est concerné ?
L’administration européenne a défini 2 types d’organisation : les organisations dites du « secteur essentiel » et les organisations dites du « secteur important » Voyons de quoi il en retourne :
- Les organisations dites du « secteur essentiel » réunissent a minima 250 salariés ou totalisent un CA d’un minimum 50 M€.
- Les organisations dites du « secteur important » regroupent entre 50 et 250 salariés et leur chiffre d’affaires s’étend de 10 à 50 M€.
A ces critères s’ajoutent des secteurs économiques concernés et dont vous pouvez retrouver le détail à cette adresse : https://cyber.gouv.fr/la-directive-nis-2
Pour chacune de ces 2 catégories, le traitement au regard de NIS 2 peut varier et nous pourrons aborder ce sujet lors de notre prochain article : je vous donne rendez-vous très bientôt pour la suite de cette série de posts consacrés à NIS 2, afin d’aborder notamment le retroplanning et le déploiement de cette directive.
Jeu de briques
Snake
Pacman
Bubble