Une directive ambitieuse pour des enjeux critiques
La directive NIS 2 (Network and Information Security) succède à la première directive NIS de 2016. Son objectif : renforcer la résilience des infrastructures critiques face aux cybermenaces. Cette fois-ci, le champ est élargi : plus de 10 000 entités sont concernées à travers 18 secteurs d’activité, incluant la santé, l’énergie, les administrations, les transports, les télécommunications, et bien d’autres.
Elle distingue deux types d’organisations :
-
Les entités essentielles (EE) : infrastructures vitales, grandes entreprises publiques ou privées.
-
Les entités importantes (EI) : acteurs de taille intermédiaire mais à impact stratégique.
De nouvelles obligations à anticiper
Dès octobre 2024, les États membres devront avoir transposé NIS 2 dans leur droit national. Pour les entités concernées, cela signifie :
Déclaration obligatoire des incidents majeurs à l’ANSSI.
Mise en œuvre de mesures techniques, organisationnelles et juridiques pour gérer les risques cyber.
Obligation de reporting, de mise à jour des données, et de coopération avec les autorités.
Sanctions financières pouvant aller jusqu’à 2 % du chiffre d’affaires mondial.
L’ANSSI à vos côtés avec MonEspaceNIS2
Pour accompagner cette transition, l’ANSSI met à disposition un portail dédié sur le site MonEspaceNIS2. Il permet aux entités de :
-
Vérifier leur assujettissement à la directive.
-
Se déclarer en ligne auprès de l’autorité.
-
Accéder à des ressources pour monter en compétence.
Ce dispositif vise à favoriser l’auto-évaluation, la sensibilisation, et la montée en maturité cyber des organisations.
Une opportunité plus qu’une contrainte
Au-delà du cadre réglementaire, NIS 2 représente une véritable opportunité pour les entreprises et institutions de :
Mieux structurer leur gouvernance cyber.
Gagner en résilience opérationnelle.
Renforcer la confiance avec leurs clients, partenaires et usagers.
