Search
Close this search box.
NIS2 qui est concerné ?

NIS2 : qui ? quand? quelles obligations? quelle sanction?

Avec la directive NIS2 l’objectif de l’Europe est le renforcement de l’arsenal cybersécuritaire. Cette mesure s’applique aux entités dites essentielles ou importantes, au bon fonctionnement des 27 états membres.
La directive NIS2 renforce considérablement les obligations en matière de cybersécurité pour les opérateurs de secteurs critiques, en introduisant deux catégories d’entités : les entités essentielles et les entités importantes.

Les entités essentielles présentent un risque accru pour la sécurité nationale et les activités économiques en cas d’incident cyber. Elles ont donc des obligations plus strictes que les entités importantes.
Pour savoir si une Entité est Essentielle ou Importante selon la NIS2 il faut se référer aux annexes 1 et 2 de la directive et au tableau qui suit.

Entités concernées par la directive NIS2 – annexe 1

  • L’énergie: électricité, réseaux de chaleur et de froid, pétrole, gaz, hydrogène
  • Les transports: ferroviaires, aériens, par eau, routiers
  • Le secteur bancaire
  • L’infrastructure des marchés financiers
  • La Santé
  • L’eau potable
  • Les eaux usées
  • L’infrastructure numérique
  • La gestion des services TIC
  • L’administration publique centrale
  • L’espace

Entités concernées par la directive NIS2 – annexe 2

  • La gestion des déchets
  • Les services postaux d’expédition
  • La fabrication, production et distribution de produits chimiques
  • La production, transformations et distribution des denrées alimentaires
  • La fabrication: de dispositifs médicaux et de dispositif médicaux de diagnostic in vitro, de produits informatiques, électroniques et optiques, d’équipements électriques, de machines et équipements, de véhicules automobiles, remorques et semi-remorques, d’autres matériels de transports/

Entité Essentielle (EE) ou Importante (EI) pour la NIS2 ?

Taille des entitésNb d’employésCABilan annuelAnnexe 1Annexe 2
Grande et Intermédiaire> 250> 50 Mio €> 43 Mio €Entité EssentielleEntité Importante
Moyennede 50 à 25010 à 50 Mio €10 à 43 Mio €Entité ImportanteEntité Importante
Petite et Micro< 50< 10 Mio €< 10 Mio €NANA
Entreprises Essentielles et Importantes pour la directive NIS2

Obligations des EE et EI ?

Communes à une EE ou à une EI

  • Gérer les risques de cybersécurité: Mettre en place des mesures de gestion des risques proportionnées et appropriées pour identifier, analyser et atténuer les risques cyber.
  • Notifier les incidents: Notifier les incidents cyber significatifs aux autorités compétentes dans les délais impartis.
  • Mettre en place des mesures de sécurité: Mettre en œuvre des mesures de sécurité techniques et organisationnelles adéquates pour protéger les actifs contre les cybermenaces.
  • Surveiller les systèmes: Surveiller en permanence les systèmes d’information afin de détecter les cyberattaques et y répondre rapidement.
  • Renforcer la résilience: Renforcer la capacité des systèmes d’information à résister aux cyberattaques et à se rétablir rapidement en cas d’incident.
  • Gérer les fournisseurs de services: Mettre en place des mesures de sécurité contractuelles pour encadrer la cybersécurité des prestataires de services critiques.
  • Former les employés: Former et sensibiliser les employés aux risques cyber et aux bonnes pratiques de sécurité.

Spécifique à une EE

  • Planification de la gestion des crises: Réaliser des exercices de gestion de crise et mettre en place un plan de réponse aux incidents cyber majeurs.
  • Tests de pénétration (PENtest) : Effectuer des tests de pénétration réguliers et indépendants de leurs systèmes d’information.
  • Analyse de la chaîne d’approvisionnement: identifier et gérer les risques cyber liés à la chaîne d’approvisionnement.
  • Divulgation des vulnérabilités: Divulguer les vulnérabilités critiques aux autorités compétentes dans les délais impartis.

Quelle est la sanction pour une EE ou une EI ?

Le non-respect des obligations NIS2 peut entraîner des sanctions financières importantes, pouvant atteindre jusqu’à 2 % du chiffre d’affaires mondial total pour les entités essentielles et 1,4 % pour les entités importantes.

En résumé, les entités essentielles ont des obligations de cybersécurité plus strictes que les entités importantes, en raison du risque accru qu’elles présentent pour la sécurité nationale et les activités économiques.

Quelle est la date limite de conformité à la NIS2 ?

Dates clés : 

  • 17 octobre 2024 : date limite de transposition en droit français de la NIS 2
  • 17 janvier 2025 : la France informe la Commission Européenne des règles et des mesures de sanctions nationales adoptées. 
  • 17 avril 2025 : Publication de la liste des Entités Essentielles et Importantes en France 

Fin octobre 2024 l’ANSSI Communiquera sur :  

  • la transposition dans le cadre de la législation française, des exigences européennes NIS2, 
  • la liste précise des secteurs concernés, 
  • les sanctions en cas de non-respect de la directive,  
  • la date limite de mise en conformité.

Ressources supplémentaires: