‹ Retour

 

NIS 2 : La nouvelle directive européenne pour renforcer la cybersécurité des entreprises

 

Depuis janvier 2023, une nouvelle réglementation européenne tarde à entrée en vigueur : la directive NIS 2 (Network and Information Security). Elle vise à renforcer la cybersécurité des entreprises dans un contexte de menaces numériques croissantes et de transformation numérique rapide. Cette directive, mise en place par l’ANSSI (Agence nationale de la sécurité des systèmes d’information) en France, succède à la première directive NIS 1 adoptée en 2016.
 

Retour sur NIS 1 : les débuts d’une cybersécurité européenne

 

La directive NIS 1 a été adoptée en juillet 2016 par le Parlement européen et le Conseil de l’Union européenne. Son objectif était de répondre à la digitalisation massive des entreprises européennes en instaurant un minimum de cybersécurité. Dix secteurs d’activités étaient concernés, et les entreprises devaient :

- Recenser leurs incidents de sécurité auprès de l’ANSSI,

- Mettre en œuvre des solutions pour protéger leurs systèmes critiques.

Cette première directive a constitué une base, mais les cybermenaces ont évolué. D’où la nécessité d’une mise à jour plus efficace.

 

Pourquoi NIS 2 ?

 

Face à l’explosion des cyberattaques et au retard de certaines structures dans ce domaine, l’Europe a décidé de renforcer son arsenal réglementaire. NIS 2 élargit considérablement son champ d’application :

- 18 secteurs d’activités sont désormais concernés, contre 10 auparavant,

- Les PME, les entreprises du CAC 40, mais aussi les administrations centrales et certaines collectivités territoriales doivent s’y conformer.

La directive impose un niveau de cybersécurité minimum aux entreprises jugées essentielles pour le quotidien des citoyens (santé, énergie, transport, services numériques, etc.).

 

Quelles conséquences pour les entreprises ?

 

NIS 2 ne se limite pas à des règles techniques. Elle va plus loin en imposant des mesures plus strictes et contraignantes.

- Responsabilité pénale des dirigeants : un moyen de faire prendre conscience aux dirigeants que cette réglementation n'est pas négligeable.

- Les sanctions financières ne sont pas encore officiellement définies, mais elles pourraient ressembler à celles du RGPD, avec des amendes basées sur un pourcentage du chiffre d’affaires.

 

Une directive ambitieuse, à anticiper dès maintenant

 

La directive NIS 2 est un signal fort envoyé aux entreprises : la cybersécurité n’est plus une option. Elle devient un enjeu réglementaire. Pour se mettre en conformité, les entreprises devront évaluer leurs risques, mettre à jour leurs systèmes, et surtout impliquer la direction dans cette transformation.