Se connecter
NIS 2 : le tableau de bord
Au délà de la date qui sera retenue pour la transposition en droit français de NIS 2, voici les principaux éléments à connaitre pour maitiser les enjeux de mise en oeuvre de la directive européenne.
NIS 2 va représenter un sérieux pas en avant en termes de résilience pour des milliers d'entreprises françaises, alors que la directive NIS 1, votée en 2016 et transposée en France en 2018, ne concernait qu'environ 300 Opérateurs de Services Essentiels (OSE) et FSN (fournisseur de service numérique.
Prévu initialement le 17 octobre, l'examen du projet de loi n'a pas été examiné et voté au Parlement en raison de la situation politique. « Ça va reprendre dans les jours qui viennent, sans précipitation : au-delà du parcours législatif, on a encore devant nous des mois de travail [...] sur le cadre réglementaire et les mesures techniques qui vont [le] décliner. » a indiqué Vincent Strubel, le directeur généralm de l'ANSSI lors de la dernière édition des Assises de la cybersécurité à Monaco. « On se donnera au moins trois ans avant d'envisager des sanctions pour les manquements », poursuit l'intéressé. Mais on n'attendra pas ce délai, tempère-t-il, pour l'enregistrement des entités régulées auprès de l'ANSSI ou la notification des incidents.»
Les étapes de la transposition de NIS 2
| 2021 | Négociations européennes sur la révision de NIS |
| 27 décembre 2022 | Publication de la directive NIS 2 au Journal Officiel de l'Union européenne |
| 17 octobre 2024 | Echéance de transposition nationale pour les Etats membres |
| 17 janvier 2025 | Les Etats membres doivent présenter à la Commission européenne les règles et mesures adoptées |
| 17 avril 2025 | Chaque état membre doit établir la liste des EE et EI |
Quelles sont les entreprises concernées par NIS2 ?
| Taille de l'entité | Nombre d'employés | Chiffre d'affaires (M€) | Bilan annuel (M€) | Secteurs hautement critiques | Autres secteurs critiques |
|---|---|---|---|---|---|
| Intermédiaire et grande | x = 250 | y = 50 | z = 43 | Entités essentielles | Entités importantes |
| Moyenne | 50 = x > 250 | 10 = y > 50 | 10 = z > 43 | Entités importantes | Entités importantes |
| Micro et petite | x < 50 | y < 10 | z < 10 | Non concernées | Non concernées |
Les 18 secteurs d'activité concernés par NIS2
| Secteurs d'activité |
|---|
| Santé |
| Energie |
| Services postaux et d'expédition |
| Industrie manufacturière |
| Infrastructure des marchés financiers |
| Transports |
| Gestion des déchets |
| Recherche |
| Eau potable |
| Eaux usées |
| Fournisseurs numériques |
| Fabrication, production et distribution de produits chimiques |
| Infrastructures numériques |
| Administrations publiques |
| Production, transformation et distribution des denrées alimentaires |
| Secteur bancaire |
| Espace |
| Gestion des services Technologies de l'Information et de la Communication |
NIS 2 : les 10 mesures de l'article 21 à mettre en oeuvre
| 1 | Mise en place de politiques en matière d'analyse des risques et de sécurité des systèmes d'information. |
| 2 | Etablir des procédures de traitement des incidents. |
| 3 | Assurer la continuité des activités, notamment avec une gestion des sauvegardes et la reprise après sinistre, ainsi qu'une gestion de crise. |
| 4 | Assurer la sécurité de la chaîne d'approvisionnement, y compris les aspects liés à la sécurité concernant les relations entre chaque entité et ses fournisseurs directs ou ses prestataires de services. |
| 5 | Mettre en place des procédures pour sécuriser l'acquisition, le développement et la maintenance des réseaux et des systèmes d'information, y compris pour le traitement et la divulgation des vulnérabilités. |
| 6 | Mise en place de politiques et procédures pour évaluer l'efficacité des mesures de gestion des risques liés à la cybersécurité. |
| 7 | Promulguer les pratiques de base en matière d'hygiène Cyber et de formation à la cybersécurité. |
| 8 | Etablir des politiques et procédures relatives à l'utilisation de la cryptographie et, le cas échéant, du chiffrement. |
| 9 | Sécuriser le volet ressources humaines, avec des politiques de contrôle d'accès et de gestion des actifs. |
| 10 | Recourir à des solutions d'authentification multifactorielle ou d'authentification continue, sécuriser les communications vocales, vidéo et textuelles sécurisées et mettre en place des systèmes de communication d'urgence sécurisés. |
---------------------------------------
(crédit photo © Shutterstock
Masterclass Silicon : Directive NIS2 : transformez la cybersécurité de votre entreprise
RSSI, responsable cyber, manager IT ... participez à ce webinar le 7 novembre 2024
Au coeur de cette matinée :
> Comprendre les enjeux de la directive NIS2
Analyse juridique de cette nouvelle réglementation européenne
> Retex : comment le RSSI doit aborder la mise en oeuvre de NIS 2
Retour d'expérience avec un RSSI
>> Inscrivez vous maintenant et rendez-vous le 7 novembre sur Silicon
Sur le même thème
Voir tous les articles Cybersécurité![{ Tribune Expert } - Grands modèles de langage (LLM), la menace [...]](https://cdn.edi-static.fr/image/upload/c_lfill,h_201,w_298/e_unsharp_mask:100,q_auto/f_auto/v1/Img/BREVE/2024/11/464980/Tribune-Expert-Grands-modeles-langage-LLM-menace-L.jpg)
Par Shaked Reiner *
Par Clément Bohic
Par George Gardon et Raul Salagean *
Par Clément Bohic
Par Clément Bohic
