La directive NIS 2 arrive : Etes-vous prêt?

La directive sur la sécurité des réseaux et de l'information (NIS) était une initiative de l'UE visant à atteindre un niveau commun de cybersécurité dans les États membres. Bien qu'elle ait renforcé les capacités en matière de cybersécurité, sa mise en œuvre s'est avérée difficile, entraînant une fragmentation du marché. Pour faire face aux menaces croissantes liées à la numérisation et aux cyberattaques, la Commission a proposé de remplacer la directive NIS par la directive NIS2, qui renforce les exigences en matière de cybersécurité, traite de la sécurité de la chaîne d'approvisionnement, rationalise les rapports et introduit des mesures de surveillance et d'application plus strictes, y compris des sanctions harmonisées dans l'ensemble de l'UE.

Le NIS2 élargit l'éventail des entités entrant dans son champ d'application, englobant de nombreuses entités qui n'étaient pas tenues de se conformer à la directive NIS initiale.

La nouvelle législation est entrée en vigueur le 16 janvier 2023, et les États membres européens ont jusqu'au 17 octobre 2024 pour transposer ses mesures en droit national, et le non-respect de ces mesures pourrait entraîner des amendes importantes. Au Royaume-Uni, les entreprises pourraient se voir infliger une amende allant jusqu'à 17 millions de livres sterling ; dans l'UE, les entités "essentielles" s'exposent à des sanctions pouvant aller jusqu'à 10 millions d'euros, ou 2 % de leur chiffre d'affaires total à l'échelle mondiale.

Secteurs concernés

Le champ d'application actuel du NIS sera considérablement élargi dans l'UE, les entreprises et les administrations de plusieurs nouveaux secteurs étant considérées comme "essentielles". Ces secteurs comprennent l'espace, les eaux usées, les administrations publiques (des exceptions peuvent s'appliquer), les fournisseurs de services de centres de données, les fournisseurs de services de confiance, les réseaux de fourniture de contenu et les réseaux et services publics de communications électroniques. D'autres secteurs, tels que les services postaux, les produits chimiques et la fabrication de produits clés, devront également se conformer aux exigences en tant qu'entités "importantes". Toutefois, ils feront l'objet d'une surveillance réglementaire moins stricte que ceux classés comme "essentiels".

Que va-t-il se passer maintenant ?

Les États membres ont jusqu'au 17 octobre 2024 pour prendre les mesures appropriées afin d'assurer la conformité avec les exigences du NIS2. Les entreprises et administrations concernées doivent mettre à profit ce délai pour comprendre comment la nouvelle directive les affectera et quelles mesures elles doivent prendre pour démontrer leur conformité.

Il est important de noter qu'en vertu de l'article 24 de la directive NIS2, les États membres ont également la possibilité d'exiger la certification des produits, services et processus TIC pour les entités essentielles ou importantes dans le cadre des systèmes européens de cybersécurité. En fonction de la catégorie de votre entreprise, la certification selon des normes spécifiques telles que ISO 27001 et CSA STAR peut devenir obligatoire. Il est donc essentiel de comprendre comment chaque État membre applique la directive, car il peut y avoir des variations d'un territoire à l'autre.

Partenariat avec LRQA

Grâce à notre portefeuille connecté de solutions de cybersécurité avancées, nous sommes en mesure de vous aider à répondre aux exigences de la norme NIS2.

Nous proposons une gamme complète de services d'évaluation par rapport aux principales normes mondiales, notamment la norme ISO 27001, complétée par un portefeuille de solutions de cybersécurité avancées fournies par nos spécialistes, LRQA Nettitude.

Nous pouvons certifier vos systèmes, remédier aux vulnérabilités et vous aider à prévenir les attaques et les incidents, en vous aidant à vous mettre en conformité avec la norme NIS2 grâce à notre expertise et à nos connaissances techniques approfondies.

Pour aller plus loin, découvrez les témoignages de nos clients ISO 27001