Comment se préparer à la
directive NIS 2 ?

22 avril 2024

Découvrez comment anticiper et respecter la directive NIS 2 pour assurer la sécurité de votre entreprise.

Qu'est-ce que la Directive NIS 2 ?

La Directive NIS 2 , ou Directive sur la sécurité des réseaux et des systèmes d'information, est une réglementation de l'Union européenne qui vise à renforcer la cybersécurité au sein des États membres.

Elle impose des obligations et des mesures à respecter aux États membres ainsi qu'aux entités importantes et aux entités essentielles afin de garantir la conformité et éviter des amendes inutiles.

Son objectif principal est de garantir un niveau élevé de sécurité des réseaux et des systèmes d'information, ainsi que de prévenir et de gérer les incidents de sécurité.

La Directive NIS 2 constitue la deuxième version de cette réglementation et apporte des mises à jour et des améliorations par rapport à la version précédente.

Quelles sont les différents critères ? 

Dans le cadre de la Directive NIS 2, les organisations doivent mettre en œuvre, au minimum, les mesures suivantes :

  • Politiques d'analyse des risques et de sécurité des systèmes d'information
  • Gestion des incidents
  • Gestion de crise
  • Protocole de sauvegarde et de restauration des données
  • Plan de continuité / reprise d’activité
  • Sécurité de la supply chain
  • Chiffrement des données
  • Protocole d’authentification
  • Contrôle des droits et des accès
  • Gestion des actifs
  • Sécurité des communications
  • Gestion des RH
  • Formation des personnels

La Directive NIS 2 en quelques chiffres

160K

Entreprises concernées par la Directive NIS 2

18

Secteurs impactés par
la Directive NIS 2

€10M

Amende maximale pour les entités essentielles non conformes

€7M

Amende maximale pour les entités importantes non conformes

Qui sera concerné par la Directive NIS 2 ?

La Directive NIS 2 s’adresse plus globalement aux entreprises de plus de 50 salariés réalisant un chiffre d'affaires de plus de 10 millions d’euros.
Ces entreprises englobent diverses tailles, allant des PME aux grandes entreprises, et dans certains cas, des collectivités territoriales.


On distingue les secteurs essentielles tels que :

  • Énergie (y compris l'électricité, le pétrole, le gaz, l'hydrogène)
  • Transports (y compris les exploitants aériens, ferroviaires, maritimes et routiers)
  • Santé
  • Espace
  • Gestion de l’eau (potable et usée)
  • Administration publique
  • Infrastructures numériques (cloud, opérateur, etc)

Des secteurs importants tels que:

  • Services postaux et d'expédition
  • Gestion des déchets
  • Fournisseurs numériques y compris les plateformes sociales, les moteurs de recherche et les places de marché en ligne)
  • Industrie chimique
  • Agroalimentaire
  • Fabrication (y compris les dispositifs médicaux, les ordinateurs, l'électronique, les machines, les véhicules automobiles, entre autres)

Cette distinction marque une évolution par rapport à la directive NIS originale, qui s'appliquait aux "Opérateurs de Services Essentiels" (OSE) et aux "Fournisseurs de Services Numériques" (FSN).

La différence entre les deux catégories réside dans la rigueur de leur supervision et dans les sanctions en cas de non-conformité :

  • Les entités essentielles peuvent s'attendre à des amendes pouvant atteindre 10 millions d'euros ou au moins 2 % du chiffre d'affaires annuel mondial total.
  • Les entités importantes peuvent s'attendre à des amendes pouvant atteindre 7 millions d'euros ou au moins 1,4 % du chiffre d'affaires annuel mondial total.

Prochaines étapes et échéances de la NIS 2

La Directive NIS 2 prévoit des échéances spécifiques pour la mise en œuvre de ses mesures de sécurité.

  • D'ici le 17/10/2024 : les États membres devront adopter et publier les mesures nécessaires pour se conformer à la directive NIS2. Ils appliquent ces mesures à partir du 18 octobre 2024.

  • Au plus tard le 17/04/2025 : Les États membres devront établir une liste des entités essentielles et importantes. Cette liste doit être mise à jour régulièrement, puis au moins tous les deux ans.

  • Au plus tard le 17/10/2027 et tous les 36 mois par la suite : La Commission européenne devra réexaminer périodiquement le fonctionnement de la directive NIS 2 et fera rapport au Parlement européen et au Conseil.

Comment les entreprises peuvent-elles se préparer à la NIS 2 ?

Pour se préparer à la Directive NIS 2, les entreprises peuvent suivre plusieurs étapes clés :

  • Identification et compréhension des obligations

Il est important de comprendre les exigences spécifiques de la directive et de vérifier si votre entreprise est concernée en tant qu'entité essentielle ou entité importante.

  • Évaluation et diagnostic des risques

Nous pouvons vous aider à effectuer une évaluation des risques à l'aide de notre solution de pilotage de la cybersécurité pour identifier les vulnérabilités et les menaces potentielles.

  • Mise en œuvre des mesures de sécurité

Sur la base de cette évaluation, vous pouvez mettre en place des mesures de sécurité appropriées pour protéger vos réseaux et systèmes d'information.

Il est conseillé d'élaborer un plan de gestion des incidents de sécurité pour pouvoir réagir rapidement et efficacement en cas d'incident.

  • Formation et sensibilisation

Assurez la formation et la sensibilisation continues de votre personnel à la cybersécurité afin de garantir une culture de sécurité forte au sein de votre entreprise.

En suivant ces étapes, les entreprises peuvent se préparer de manière proactive à la mise en œuvre de la Directive NIS 2 et assurer la sécurité de leurs réseaux et systèmes d'information. Le côté positif est le suivant : si votre organisation est déjà certifiée ISO 27001, elle se trouve significativement plus proche de la conformité à la NIS 2.

Nos derniers articles 

Réglementation stricte, risques complexes... Acteurs du secteur financier : comment assurer la gestion de votre conformité et de vos risques ? On vous liste les meilleures pratiques à adopter pour garantir votre stabilité.

Pour maîtriser leurs risques et leur conformité, les entreprises utilisent des logiciels spécialisés.
Mais comment mesurer et assurer le ROI de ces technologies ?

La cybersécurité : tout le monde en parle, mais tout le monde ne sait pas la mettre en place.
Comment la rendre accessible à tous les métiers ?

Démo Gratuite

Découvrez la puissance et les opportunités cachées de vos données : Analysez, Décidez et Actionnez !

These 

À PROPOS

Pocket Result est une solution BI et d’analyse qui permet aux entreprises du monde entier de transformer leurs données en informations précieuses et permettant des décisions fondées sur l’exploitation de leur data.

NEWSLETTER