La version 2 de la directive Européenne NIS (Network and Information system Security) vise à renforcer la résilience des entités Européennes en matière de cybersécurité.
Pour cela, la directive définie les entités concernées, en fonction de leur secteur d’activité et de leur taille, une entité concernée sera considérée comme entité importante (EI) ou essentielle (EE) et se verra imposée une version plus ou moins stricte de mesures de sécurité.
Si une organisation était concernée par NIS version 1, elle le sera pour cette nouvelle directive. Il est estimé en France que 10 (ou 20 ou 30) fois plus d’organisations seront concernées par NISv2 que par la précédente version. Egalement, du fait d’obligation de contrôle des sous-traitants, d’autres entreprises pourront être indirectement concernées.
En France, l’ANSSI est chargée de transposer le texte à l’échelle nationale, pour une mise en application dès Octobre 2024.
Parmi les obligations pour les entités régulées, on retrouvera une obligation de notifier l’ANSSI des incidents majeurs de cybersécurité, ainsi que de de mettre en œuvre des mesures organisationnelles et techniques en matière de cybersécurité.
Un des enjeux de l’ANSSI dans le travail de transposition est de créer un dispositif qui ait un réel impact sur la sécurisation des entités.
Si vous pensez être concerné, n’attendez pas et réalisez un premier audit de maturité. Par rapport au Guide d’Hygiène de l’ANSSI, à ISO 27001 ou aux Frameworks Cyberfondamentaux du CCB.
Plus d’informations sur NIS :
Plus d’informations : Webinaire ANSSI de Mai 2023
Secteurs Annexe 1 :
Secteurs Annexe 2 :
Classification Entité Importante ou Essentielle en fonction des Annexes 1 et 2 et de la taille de l’organisation :