NIS, c’est quoi ?
Tout d’abord, NIS (Network and Information system Security) est une directive européenne visant à renforcer la cybersécurité des infrastructures critiques et des services numériques. Elle est transposée au sein de chaque état membre et laisse quelques libertés dans le cadre de cette transposition. Cette transposition est aujourd’hui de la responsabilité de l’Agence Nationale de la Sécurité des Systèmes d’Informations (ANSSI).
La première version de la directive européenne -NIS1- adressait essentiellement les grandes organisations que l’on appelle Opérateurs de Services Essentiels – OSE. En France, les OSE sont au nombre de 300 environ. On y retrouve entre autres les entreprises qui gèrent les actifs stratégiques de l’état tels que l’énergie, les télécommunications, le transport, l’eau ou encore les banques.
La directive NIS1 a été établie en 2016 et transposée en droit français en 2018. Or six ans plus tard, le spectre des menaces ayant largement évolué avec des impacts plus importants sur notre société, l’UE a reconnu la nécessité d’ une mise à jour. En effet, de nouvelles cibles (PME, ETI, collectivités territoriales) sont apparues ces dernières années, avec des conséquences parfois dramatiques pouvant eventuellement mettre en péril les chaines d’approvisionnements.
En synthèse, NIS2 est la directive dédiée à la cybersécurité, sur le modèle du RGPD dédié à la protection des données personnelles. Ces deux directives sont d’ailleurs complémentaires.
NIS2 : De la cybersécurité des opérateurs critiques vers la cybersécurité de masse
NIS2 a élargi son champ d’application -par rapport à NIS1- au-delà des infrastructures critiques pour inclure 18 secteurs d’activités et incluant les administrations publiques. On y retrouve notamment les :
Opérateurs d’infrastructures critiques : Les fournisseurs d’énergie, les services d’eau, les établissements de santé et les entreprises de transport relèvent de cette catégorie.
Fournisseurs de services numériques : Les prestataires de services cloud, les plateformes de commerce électronique et les réseaux sociaux sont désormais soumis à NIS 2.
Entités du secteur public : Les agences gouvernementales et les administrations publiques doivent se conformer à la directive.
Les organisation bancaires et financières : Les banques et les infrastructures des marchés financiers.
On peut découvrir ci-dessous le détail des organisations identifiées au sein de la directive (à partir de la page 64).
https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32022L2555
En complément du secteur d’activité, la directive NIS2 définit des critères de taille d’entreprise. Seront éligibles les organisations de plus de 50 personnes et dont le chiffre d’affaires est supérieur à 10 M€.
Comment savoir si mon entreprise est soumise à la directive NIS2
NIS2 représente une avancée significative dans le renforcement de la cybersécurité au sein de l’UE. Les organisations doivent se familiariser avec la directive, évaluer leurs obligations et prendre des mesures.
L’Agence Nationale de la Sécurité des Systèmes d’Informations a mis en place un simulateur pour identifier si votre entreprise est soumise à NIS2. Vous pouvez évaluer cette éligibilité ici.
https://monespacenis2.cyber.gouv.fr/
Maintenant que nous avons identifié les entreprises éligibles à NIS 2, nous allons découvrir dans un second article de blog le périmètre d’application et les exigences attendues.
THEIA-IT possède des compétences fortes pour vous accompagner dans la sécurisation de votre entreprise. N’hésitez pas à nous contacter.
Offert : Téléchargez notre livre blanc !
Ce livre blanc décrit les méthodes aujourd’hui dipsonibles pour sécuriser votre messagerie en limitant le risque d’usurpation d’identité.
