Aller au contenu
Accueil » Blog solutions pour un monde plus Smart » NIS2 : qui ? quand? quelles obligations? quelle sanction?

NIS2 : qui ? quand? quelles obligations? quelle sanction?

Avec la directive NIS2 l’objectif de l’Europe est le renforcement de l’arsenal cybersécuritaire. Cette mesure s’applique aux entités dites essentielles ou importantes, au bon fonctionnement des 27 états membres.
La directive NIS2 renforce considérablement les obligations en matière de cybersécurité pour les opérateurs de secteurs critiques, en introduisant deux catégories d’entités : les entités essentielles et les entités importantes.

Les entités essentielles présentent un risque accru pour la sécurité nationale et les activités économiques en cas d’incident cyber. Elles ont donc des obligations plus strictes que les entités importantes.
Pour savoir si une Entité est Essentielle ou Importante selon la NIS2 il faut se référer aux annexes 1 et 2 de la directive et au tableau qui suit.

Entités concernées par la directive NIS2 – annexe 1

  • L’énergie: électricité, réseaux de chaleur et de froid, pétrole, gaz, hydrogène
  • Les transports: ferroviaires, aériens, par eau, routiers
  • Le secteur bancaire
  • L’infrastructure des marchés financiers
  • La Santé
  • L’eau potable
  • Les eaux usées
  • L’infrastructure numérique
  • La gestion des services TIC
  • L’administration publique centrale
  • L’espace

Entités concernées par la directive NIS2 – annexe 2

  • La gestion des déchets
  • Les services postaux d’expédition
  • La fabrication, production et distribution de produits chimiques
  • La production, transformations et distribution des denrées alimentaires
  • La fabrication: de dispositifs médicaux et de dispositif médicaux de diagnostic in vitro, de produits informatiques, électroniques et optiques, d’équipements électriques, de machines et équipements, de véhicules automobiles, remorques et semi-remorques, d’autres matériels de transports/

Entité Essentielle (EE) ou Importante (EI) pour la NIS2 ?

Taille des entitésNb d’employésCABilan annuelAnnexe 1Annexe 2
Grande et Intermédiaire> 250> 50 Mio €> 43 Mio €Entité EssentielleEntité Importante
Moyennede 50 à 25010 à 50 Mio €10 à 43 Mio €Entité ImportanteEntité Importante
Petite et Micro< 50< 10 Mio €< 10 Mio €NANA
Entreprises Essentielles et Importantes pour la directive NIS2

Obligations des EE et EI ?

Communes à une EE ou à une EI

  • Gérer les risques de cybersécurité: Mettre en place des mesures de gestion des risques proportionnées et appropriées pour identifier, analyser et atténuer les risques cyber.
  • Notifier les incidents: Notifier les incidents cyber significatifs aux autorités compétentes dans les délais impartis.
  • Mettre en place des mesures de sécurité: Mettre en œuvre des mesures de sécurité techniques et organisationnelles adéquates pour protéger les actifs contre les cybermenaces.
  • Surveiller les systèmes: Surveiller en permanence les systèmes d’information afin de détecter les cyberattaques et y répondre rapidement.
  • Renforcer la résilience: Renforcer la capacité des systèmes d’information à résister aux cyberattaques et à se rétablir rapidement en cas d’incident.
  • Gérer les fournisseurs de services: Mettre en place des mesures de sécurité contractuelles pour encadrer la cybersécurité des prestataires de services critiques.
  • Former les employés: Former et sensibiliser les employés aux risques cyber et aux bonnes pratiques de sécurité.

Spécifique à une EE

  • Planification de la gestion des crises: Réaliser des exercices de gestion de crise et mettre en place un plan de réponse aux incidents cyber majeurs.
  • Tests de pénétration (PENtest) : Effectuer des tests de pénétration réguliers et indépendants de leurs systèmes d’information.
  • Analyse de la chaîne d’approvisionnement: identifier et gérer les risques cyber liés à la chaîne d’approvisionnement.
  • Divulgation des vulnérabilités: Divulguer les vulnérabilités critiques aux autorités compétentes dans les délais impartis.

Quelle est la sanction pour une EE ou une EI ?

Le non-respect des obligations NIS2 peut entraîner des sanctions financières importantes, pouvant atteindre jusqu’à 2 % du chiffre d’affaires mondial total pour les entités essentielles et 1,4 % pour les entités importantes.

En résumé, les entités essentielles ont des obligations de cybersécurité plus strictes que les entités importantes, en raison du risque accru qu’elles présentent pour la sécurité nationale et les activités économiques.

Quelle est la date limite de conformité à la NIS2 pour une EE ou une EI ?

La date de conformité à la directive NIS2 pour les entreprises françaises dépend de leur catégorie :

Entités essentielles:

  • Date d’application: 25 novembre 2023
  • Délai de conformité: 6 mois à compter de la date d’application, soit jusqu’au 25 mai 2024

Entités importantes:

  • Date d’application: 25 novembre 2023
  • Délai de conformité: 24 mois à compter de la date d’application, soit jusqu’au 25 novembre 2025

En résumé:

  • Toutes les entreprises, qu’elles soient essentielles ou importantes, devront se conformer à la directive NIS2 au plus tard le 25 novembre 2025.
  • Les entités essentielles devront cependant respecter les exigences les plus strictes dès le 25 mai 2024.

Ressources supplémentaires: