Une demande, besoin d’un conseil ?
0821 201 201 (0,18€ TTC/min)

Cybersécurité : comprendre et respecter la directive NIS2

NIS2 NXO

La réglementation européenne NIS 2 en matière de sécurité informatique est en cours de transposition au niveau national. Pour de nombreuses organisations, la question clé est de savoir si elles sont concernées par cette réglementation et quels en seront les impacts et les obligations. Nicolas Lacourte, responsable cybersécurité chez NXO France, nous éclaire sur cette problématique essentielle.

Qu’est-ce que la directive européenne NIS et quelle est la différence entre NIS 1 et NIS 2 ?

La directive NIS (Network and Information Security), adoptée en 2016, visait à renforcer la cybersécurité au niveau européen en imposant des mesures aux Fournisseurs de Services Numériques et aux Opérateurs de Services Essentiels. Toutefois, des incohérences entre les États membres ont été constatées et NIS1 présentait des limites en termes d’applicabilité, d’obligations, de notification d’incidents et de sanctions.

NIS2, publiée en décembre 2022, étend considérablement le périmètre d’application et renforce les sanctions. Cette nouvelle réglementation est en cours de transposition dans les États membres.

Quelles organisations sont concernées par NIS2 ?

Pour déterminer si votre organisation est concernée, vous devez consulter les annexes 1 et 2 de la directive NIS 2. Elles répertorient les secteurs, sous-secteurs et types d’entités concernés. Les secteurs tels que l’énergie, les transports, les banques, la santé, et même les administrations publiques sont maintenant inclus, ce qui élargit considérablement le champ d’application.

En revanche, si vous ne retrouvez pas, à première vue, l’une des activités de votre entité dans ces annexes, alors les consultations sur ce sujet, actuellement en cours, permettront d’obtenir des éléments complémentaires. En effet, certaines définitions présentes dans les annexes nécessitent de clarifier la portée de la directive.

Les 10 Mesures de Sécurité autour de NIS2

La directive NIS 2 impose 10 mesures de sécurité, notamment la gestion des risques, la gestion des incidents, la continuité des activités, la sécurité de la chaîne d’approvisionnement, la sécurité du développement des réseaux et des systèmes d’information, ainsi que des mesures liées à la formation, à la cryptographie, à la sécurité des ressources humaines, à l’authentification multi-facteurs, et aux communications sécurisées.

Ces mesures sont encore assez floues et nécessite des clarifications. Cela devrait être plus précis pour début 2024 avec des échéances pour la mise en application.

Comment anticiper et se préparer à NIS2 ?

En attendant la définition finale des mesures, il est crucial de réaliser un audit de votre système d’information, d’évaluer vos politiques et procédures en matière de gestion des risques cyber, et de sécuriser votre chaîne d’approvisionnement.

Quel est le calendrier de mise en place de NIS2 ?

La mise en application des règles NIS 2 comporte plusieurs étapes de consultation afin de clarifier le périmètre des entités, les processus d’interaction entre l’ANSSI et les organisations enfin les diverses mesures de sécurité à applications avec les délais de mise en place.

La date limite pour la transposition en droit national était fixée au 17 octobre 2024.

Qu’en est-il aujourd’hui de cette transposition ? (MAJ le 19 novembre 20024)

Au 17 octobre 2024, seuls six pays de l’Union européenne avaient pleinement transposé la directive NIS2 dans leur législation nationale : la Croatie (juin 2024), la Belgique (juin 2024), la Grèce (septembre 2024), la Hongrie (mai 2024), la Lettonie (juin 2024) et la Lituanie (juillet 2024).

La France n’a pas encore transposé la directive NIS2 en raison de la dissolution de l’Assemblée nationale. Présenté le 16 octobre en Conseil des ministres, le projet doit encore passer par plusieurs étapes législatives et nécessitera la publication de décrets d’application avant sa mise en œuvre. La transposition pourrait être achevée d’ici fin 2024 ou début 2025, mais les organisations doivent se préparer dès maintenant.

Comment NXO accompagne ses clients pour entrer en conformité avec NIS2 ?

NXO s’engage à accompagner ses clients dans la compréhension et la mise en conformité avec la réglementation NIS 2. Nous proposons une expertise pointue pour aider nos clients à anticiper et à répondre aux nouvelles exigences de sécurité. De l’audit de votre système d’information à l’évaluation de vos politiques de gestion des risques cyber, nous mettons à votre disposition les ressources et les connaissances nécessaires pour vous préparer efficacement à NIS 2.

En outre, nous sommes prêts à vous guider dans la mise en place des 10 mesures de sécurité imposées par la directive NIS 2, en veillant à ce que votre organisation puisse se conformer à ces nouvelles règles sans compromettre sa sécurité.

Chez NXO, nous sommes convaincus que la cybersécurité est un pilier fondamental de toute entreprise moderne, et notre engagement est de vous aider à relever ces défis tout en restant à la pointe de l’innovation en matière de sécurité informatique.

La directive NIS 2 | ANSSI

Nicolas Lacourte, Solution Manager cybersécurité chez NXO

N-Lacourte

Découvrez aussi

Audit sécurité informatique

Nous évaluons vos risques cyber grâce à nos offres d’audit sécurité et nos conseils en cyberdéfense

Découvrir l’offre