La directive européenne NIS 2 sur la sécurité des réseaux et de l’information est transposée en droit français et en vigueur depuis hier. Elle définit de nouvelles exigences en matière de cybersécurité pour toute entreprise d’un effectif d’au moins 50 personnes et d’un chiffre d’affaires supérieur à un million d’euros faisant partie d’un secteur stratégique ou sous-traitant au sein de l’un de ces 35 secteurs dit ‘sensibles’.  Parmi les domaines concernés : la santé, les transports, les infrastructures numériques, la banque/finance, l’assurance, l’énergie, les administrations publiques, la gestion des déchets, les services postaux, la fabrication de produits chimiques, les grands distributeurs alimentaires ou encore les fournisseurs d’accès à internet et les datacenters.

Les entreprises concernées – 15.000 environ en France – ont de nouvelles obligations en termes de gestion des risques, de reporting sur les incidents et de divulgation des vulnérabilités. La directive élargit également les pouvoirs des autorités de contrôle par les autorités nationales et harmonise et renforce les sanctions en cas de non-respect des obligations.

Toute entreprise contrevenante s’expose à une amende jusqu’à 10 millions d’euros ou représentant jusqu’à 2% de son chiffre d’affaires annuel mondial. La responsabilité de la direction peut également être engagée.

Pour autant, le directeur général de l’Anssi, Vincent Strubel, dit vouloir laisser une période de trois ans aux entités concernées pour se conformer complètement à cette directive, à partir du moment où le strict minimum est fait. Ce minimum consistera en l’enregistrement de l’entité auprès de l’Anssi sur le portail monespaceNIS2, la notification des incidents cyber et le partage d’information sur les investissements effectués en matière de cybersécurité.

La directive NIS 2 amène aussi les Etats membres à renforcer leur coopération en matière de gestion de crise cyber, en donnant notamment un cadre formel au réseau CyCLONe (Cyber Crisis Liaison Organisation Network) qui rassemble l’Anssi et ses homologues européens.

Nos lecteurs ont lu ensuite


Avec Nis 2 les obligations de sécurité devraient s’étendre à 10 fois plus d’organisations
Adoptée en juillet 2016, la directive «network and information security» (Nis) fait l’objet d’une révision pour renforcer et harmoniser le niveau de cybersécurité au sein de l’Union Européenne. Le 12 mai dernier, un accord provisoire...

Cinquième directive LCB-FT, quel impact pour le monde des Fintechs ?
Expertise de Nans Lorenzini, responsable juridique, Limonetik Depuis le texte fondateur de la lutte anti-blanchiment en 1996, l’Union Européenne n’a de cesse de légiférer pour encadrer et protéger le système financier et éviter une dérégulation...

Quantification des risques de cybersécurité : effet de mode ou modèle innovant ?
La quantification des risques de cybersécurité désigne une approche de l’évaluation des risques utilisant des modèles mathématiques et statistiques permettant de valoriser en termes financiers les conséquences des évènements cyber. L’agence de notation Moody’s déclarait...

Cybersécurité industrielle : la nécessité de s’appuyer sur des technologies de confiance
Au fil des ans, de nombreux pays, dont la France, ont élaboré des lois et des réglementations pour faire respecter la cybersécurité. Les orientations, les normes et les réglementations font désormais partie de l’arme cybernétique....

TVH Consulting annonce le lancement une offre d’accompagnement à la conformité NIS 2
L’intégrateur et éditeur de logiciels de gestion annonce le lancement de NIS 2 Secure, une offre d’accompagnement des organisations à la conformité NIS 2, du nom de l’extension publiée en décembre 2022 de la directive...