Illustration de l'article au sujet de la mise en conformité NIS 2

Mise en conformité NIS 2 : votre entité est-elle concernée ?

/dans , , /par

Mise en conformité NIS 2 : votre entité est-elle concernée ? 

Nous approchons de la date de mise en conformité de la Directive NIS 2 auprès de l’ANSSI. Cet article vient apporter des précisions quant aux entités concernées ainsi que le contenu de cette nouvelle directive de sécurité européenne.  

Depuis février 2016 la directive Network and Information System Security dite NIS a pour but d’assurer un haut niveau de sécurité et uniformiser des systèmes d’information Européens.  

 

C’est en décembre 2022 que la Directive suivante est adoptée par le parlement européen. La Directive NIS 2 qui s’appuie sur les acquis de la Directive NIS 1, marque un changement de paradigme, tant à l’échelon national qu’européen. La Directive NIS 2 a pour but d’élargir sa zone d’effet et de mieux protéger les SI européens. Au-delà de l’augmentation du niveau d’exigence, c’est aussi l’impartialité que l’UE souhaite mettre en place qui se voit démultipliée. En effet, en cas de manquement, les amendes peuvent maintenant atteindre 10 Millions d’euros ou 2% du chiffre d’affaires annuel mondial, le montant le plus important étant choisi. Néanmoins, la France pourra, le cas échéant, dans le cadre de la transposition de la directive prévoir d’autres mesures coercitives. 

Via le simulateur ci-après, nous vous invitons à vérifier si votre entreprise nécessite une mise en conformité ici. Avant tout la Directive NIS 2 est une directive de sécurité. Pour faire plus simple, c’est un ensemble de mesure proposé pour augmenter et harmoniser la sécurité des systèmes d’information d’entreprises/organisations européennes. 

Accéder au simulateur

 

Les entités devront mettre en place des mesures juridiques, techniques et organisationnelles pour gérer les risques qui menacent la sécurité de leurs réseaux et de leurs systèmes d’information. Ces mesures seront déclinées au niveau réglementaire en 20 objectifs de sécurité. Organisés en 2 niveaux d’exigence distincts et proportionnés entre entités essentielles et entités importantes.

Quelles sont les entités concernées ? 

La mise en conformité à l’égard de la Directive NIS1 doit obligatoirement être suivie depuis 2016 pour des catégories d’entités et d’organismes particuliers. Pour rappel, toutes entités désignées Opérateur de service essentiel (OSE) ou les Fournisseurs de service numérique (FSN) qui étaient soumis à la Directive NIS1 seront automatiquement soumis à la Directive NIS 2.  

Au sein de la Directive NIS2 nous trouverons plutôt le terme d’Entité Essentielle (EE) et d’Entité importante (EI). 18 secteurs d’activités sont concernés. Dans les entités essentielles nous retrouvons par exemple les administrations publiques, les organismes en charge des eaux potables/usées, les énergies etc. Les entités importantes sont les entreprises de plus petites tailles dans ces mêmes secteurs d’activités. En somme au sein des EI et EE nous comptons des secteurs hautement critiques qui en cas de cyberattaque pourraient faire face à de lourdes conséquences.   

Le circuit entier est concerné 

Vous êtes un sous-traitant ? Un partenaire ? Ou tout autre intervenant de la supply-chain d’une EE ou EI ? La mise en conformité à la Directive NIS 2 est aussi obligatoire pour votre entreprise. 

Attention, dans le cas de la Directive NIS 2 c’est bien l’organisme qui devra se déclarer auprès de l’ANSSI. 

Fris chronologique de la directive NIS 2

Quelles sont les mesures suggérées par la Directive NIS 2 ? 

Concrètement, la Directive NIS 2 est constituée de différentes mesures. 3 obligations majeures :  

  • Fournir certaines informations à l’ANSSI ; 
  • Mettre en place des mesures de gestion des risques adaptées ; 
  • Déclarer ses incidents de sécurité. 

Parmi les autres mesures possibles, il faudra, par exemple, travailler sur la rédaction du plan de continuité d’activité (PCA), de reprise (PRA), des différentes chartes et politiques d’utilisation, ainsi que sur la formation et la sensibilisation de vos équipes à la cybersécurité et aux risques associés.  

En résumé les trois actions à mettre en place avant toute chose sont les suivantes :  

  • Découvrir la directive NIS 2 et rester informé concernant les évolutions de la transposition ; 
  • Réalisez un test en ligne pour déterminer si votre entité est régulée par la Directive NIS2 et à quelle catégorie elle appartient ; 
  • Le cas échéant, se déclarer auprès de l’ANSSI (service à venir prochainement). 

  

Enfin, SRC Solution, du fait de son expertise ciblée sur les problématiques de cybersécurité peut vous accompagner dans votre démarche de mise en conformité avec la Directive NIS 2, en atteignant les critères de sécurité imposés par l’ANSSI. 

Nous contacter
Vous aimerez peut-être aussi
Quelle règlementation sur les systèmes de vidéoprotection ? Cookies et traceurs : quelle est la bonne recette ?
Quand la CJUE frappe de nouveau sur les transferts de données hors UE…
SRC Solution a la qualification PASSI
La Centrale d’Achat de l’Informatique Hospitalière a choisi SRC Solution & SDCT pour son marché d'AMO Télécoms
participation src solution au salon CBC 2025 SRC Solution au salon CBC 2025 !
Découvrez Pilot Telecom, notre outil de gestion financière des télécoms !