La directive NIS 2 vise à renforcer la cybersécurité dans l'Union européenne en harmonisant les exigences en matière de sécurité des réseaux et des systèmes d'information.
Elle s'applique à un large éventail d'entités, y compris les Opérateurs de Services Essentiels (OSE) et les Fournisseurs de Services Numériques (PSD). Nous rappelons que les OIV sont compris dans les OSE.
Elle est entrée en vigueur le 27 décembre 2022 et doit être transposée en droit national par les États membres au plus tard le 28 octobre 2024.
La directive NIS 2 impose un ensemble d'exigences en matière de sécurité aux opérateurs de services essentiels (OSE) et aux fournisseurs de services numériques (PSD). Ces exigences sont conçues pour améliorer la cybersécurité de ces entités et réduire le risque de cyberattaques.
Concrètement, pour se conformer à la directive NIS 2, les OSE et les PSD doivent mettre en place les mesures de sécurité suivantes :
Un PSI est un ensemble de mesures et de procédures visant à protéger les systèmes d'information d'une entité. Il doit couvrir l'ensemble des actifs de l'entité, y compris les données, les applications, les systèmes et les infrastructures.
Le RSI est responsable de la mise en œuvre et de la maintenance du PSI. Il doit avoir les compétences et l'expérience nécessaires pour assurer la sécurité des systèmes d'information de l'entité.
Le personnel de l'entité doit être formé aux bonnes pratiques en matière de cybersécurité. Cette formation doit couvrir les risques cyber, les mesures de protection et les procédures à suivre en cas d'incident de sécurité.
Les OSE et les PSD doivent mettre en place des mesures de sécurité pour protéger les données personnelles qu'ils collectent et traitent. Ces mesures doivent respecter les exigences du règlement général sur la protection des données (RGPD).
L'entité doit mettre en place une gestion des vulnérabilités pour identifier et corriger les vulnérabilités de ses systèmes d'information. Cette gestion doit être adaptée aux risques spécifiques de l'entité.
L'entité doit mettre en place un processus de gestion des incidents pour répondre rapidement et efficacement aux incidents de sécurité. Ce processus doit être adapté aux risques spécifiques de l'entité.
L'entité doit réaliser des tests de sécurité réguliers pour identifier les vulnérabilités de ses systèmes d'information. Ces tests doivent être adaptés aux risques spécifiques de l'entité.
Les tests de sécurité peuvent inclure des audits de sécurité, des tests d'intrusion et des tests de vulnérabilité.
La directive NIS 2 s'applique à un large éventail d'entités, y compris les Opérateurs de Services Essentiels (OSE) et les fournisseurs de services numériques (PSD).
Les OSE sont des entités qui fournissent des services essentiels à l'économie et à la société. Les entités appelées OIV, ou Opérateur d’Importance Vitale, sont ici comprises dans les OSE.
Ils comprennent les entités qui fournissent les services suivants :
Pour être considérées comme des OSE, les entités doivent répondre à l'un des critères suivants :
Voici quelques exemples d'entités qui sont considérées comme des OSE :
Les PSD sont des entités qui fournissent des services numériques d'importance pour l'économie et la société. Ils comprennent les entités qui fournissent les services suivants :
Pour être considérées comme des PSD, les entités doivent répondre à l'un des critères suivants :
Voici quelques exemples d'entités qui sont considérées comme des PSD :
La directive NIS 2 renforce les sanctions qui peuvent être infligées aux entités qui ne se conforment pas à ses exigences. Ces sanctions sont plus élevées que celles prévues par la directive NIS précédente.
Les OSE qui ne se conforment pas à la directive NIS 2 peuvent être sanctionnées par une amende d'un montant maximum de 10 millions d'euros ou de 2 % de leur chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu.
Les PSD qui ne se conforment pas à la directive NIS 2 peuvent être sanctionnées par une amende d'un montant maximum de 7 millions d'euros ou de 1,4 % de leur chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu.
Les sanctions infligées aux entités qui ne se conforment pas à la directive NIS 2 peuvent avoir des effets négatifs sur ces entités, notamment :
Notre équipe d’experts en sécurité informatique est à votre disposition pour vous proposer l’audit cybersécurité le mieux adapté à votre problématique et à votre métier.