Conformité NIS2

Le règlement NIS 2 (Network and Information Security 2) (en français SRI2 pour Sécurité des Réseaux et des systèmes d’Information 2) vise à renforcer la cybersécurité à travers l’UE en élargissant le champ d’application à plus de secteurs économiques et en introduisant des exigences de sécurité plus harmonisées.

Elle inclut des structures de gestion de crises cyber, des évaluations de vulnérabilité et des pratiques de cyberhygiène dans les stratégies nationales de cybersécurité. De plus, NIS 2 met l’accent sur l’importance de la sécurité dans la chaîne d’approvisionnement et impose des obligations de rapport d’incidents plus stricts.

Pour une conformité efficace avec la NIS 2, il est crucial pour les organisations de comprendre les nouvelles obligations et de les intégrer dans leurs pratiques et structures de gouvernance actuelles. Cela peut nécessiter une analyse approfondie des règles spécifiques aux différents États membres dans lesquels elles opèrent, surtout que la directive offre une certaine flexibilité dans la manière dont les exigences peuvent être transposées et appliquées au niveau national.

Notre accompagnement pour votre conformité :

Radical-SSI accompagne les entités régulées par le règlement NIS2 afin qu’elles soient en mesure de poursuivre leurs activités en cas de cyber-attaques ou de pannes amenant une interruption de fonctionnement de leurs systèmes d’information.

Notre accompagnement se fait en 3 phases :

Phase Pré-BUILD : quel que soit le niveau envisagé, il est nécessaire avant toute offre complète d’évaluer votre cyber-maturité. Nous commencerons donc par un audit d’hygiène et d’analyse de votre corpus documentaire lié à la cybersécurité. Ces audits permettront de cadrer l’application de ces processus au sein de votre organisation, et de choisir un référentiel technique.
Phase BUILD : piloter vos équipes ou de mener pour vous la mitigation nécessaire. Nous mènerons (ou externalisons) également un audit juridique et technique pour vérifier la conformité de vos contrats IT, qu’ils soient en mode SaaS ou On-premises, afin d’assurer qu’ils respectent les meilleures pratiques du marché.
Ces deux phases permettront d’atteindre une conformité NIS2.
Phase RUN : suivre l’évolution de votre conformité et valider annuellement votre conformité, tout en remettant à jour le corpus documentaire essentiel.

Pour en savoir plus sur NIS2 :

L’organisation générale de NIS2

Les axes majeurs de NIS2 visent à renforcer la résilience, améliorer la gestion des risques, encourager la coopération transfrontalière, et garantir une réponse rapide aux cybermenaces. Le but est de sécuriser les infrastructures critiques tout en instaurant une approche harmonisée dans l’ensemble de l’Union européenne.

Pour cela, les axes majeurs de NIS2 sont :

Renforcement des exigences de cybersécurité et mise en place d’un dispositif de gestion des risques liés aux TIC ;
Signalement des incidents TIC et des cybermenaces ;
Gestion de la chaîne d’approvisionnement et des risques liés aux prestataires ;
Gestion des crises cyber ;
Coopération renforcée au niveau européen.

Les types d’entreprises concernés par NIS2

NIS2 introduit des obligations en matière de cybersécurité pour un large éventail d’entreprises, mais elle inclut des dispositions spécifiques concernant la taille des entreprises soumises à ces obligations.

NIS2 cible principalement les grandes entreprises et certaines moyennes entreprises opérant dans des secteurs critiques. Les micro et petites entreprises sont généralement exemptées, sauf si elles jouent un rôle crucial dans des infrastructures essentielles. Les entreprises concernées doivent mettre en œuvre des mesures de gestion des risques de cybersécurité, notifier les incidents de sécurité, coopérer avec les autorités et partager les informations pertinentes pour améliorer la sécurité collective.

Grandes entreprises :

Le règlement NIS2 s’applique principalement aux grandes entreprises, définies comme celles qui remplissent au moins deux des critères suivants :

Un effectif de plus de 250 personnes.
Un chiffre d’affaires annuel supérieur à 50 millions d’euros.
Un total de bilan annuel supérieur à 43 millions d’euros.

Entreprises moyennes :

Certaines entreprises de taille moyenne, qui remplissent les critères suivants, peuvent également être soumises aux obligations de la NIS2 si elles opèrent dans des secteurs critiques :

Un effectif compris entre 50 et 250 personnes.
Un chiffre d’affaires annuel entre 10 et 50 millions d’euros.
Un total de bilan annuel entre 10 et 43 millions d’euros.

Les secteurs concernés :

Secteurs dits en “Annexe 1”

Secteur 01 : Énergie
Secteur 02 : Transports
Secteur 03 : Secteur bancaire
Secteur 04 : Infrastructures des marchés financiers
Secteur 05 : Santé
Secteur 06 : Eau potable
Secteur 07 : Eaux usées
Secteur 08 : Infrastructure numérique
Secteur 09 : Gestion des services TIC
Secteur 10 : Administration publique

Secteurs dits en “Annexe 2”

Secteur 01 : Services postaux et d’expédition
Secteur 02 : Gestion des déchets
Secteur 03 : Fabrication, production et distribution de produits chimiques
Secteur 04 : Production, transformation et distribution des denrées alimentaires
Secteur 05 : Fabrication
Secteur 06 : Fournisseurs numériques
Secteur 07 : Recherche

Synthèse :

Taille entité	Employés (X)	C.A. (M€) (Y)	Bilan (M€) (Z)	Annexe 1	Annexe 2
Intermédiaire et Grande	X>=250	Y>= 50	Z>= 43	Entités Essentielles	Entités Importantes
Moyenne	50>=X>=250	10>=Y>= 50	10>=Z>=43	Entités Importantes	Entités Importantes
Micro et Petite	X<50	Y<10	Z<10	Non concernées	Non concernées

Quelques éléments “techniques”

Portée par la France pendant sa présidence du Conseil de l’Union européenne, cette directive, prise dans le prolongement de la directive dite « NIS1 » de 2016, prévoit un niveau commun plus élevé de cybersécurité dans l’ensemble de l’Union européenne applicable aux entités qualifiées comme essentielles ou importantes et l’étend à de nouvelles entités.

Cet élargissement est une conséquence de l’évolution de la menace cyber ses dernières années, qui était principalement étatique et vise à présent un nombre beaucoup plus élevé de victimes (PME, collectivités territoriales, hôpitaux, etc.). En France, le nombre d’entités concernées par cette directive passerait ainsi de 500 à près de 15 000, et de 6 secteurs d’activité à 18.

Le contexte politique français semblait avoir rendu cette adoption impossible dans le délai. « Le projet de loi de transposition est prêt depuis le printemps 2024, mais il n’a pas pu être examiné. On se donnera au moins trois ans avant d’exiger une conformité complète au cadre une fois qu’il sera posé, avant d’envisager des sanctions pour les manquements », explique Vincent Strubel, Directeur général de l’Anssi, dans une interview accordée à Banque Des Territoires en marge des Assises de la cybersécurité qui se sont déroulées du 9 au 11 octobre 2024.

Finalement la loi de transposition NIS2, nommée « Projet de loi résilience des infrastructures techniques et cybersécurité » a été présenté en Conseil des ministres le 16 octobre 2024. Cette loi ne sera d’application officielle qu’après son adoption définitive par les deux chambres (Assemblée Nationale et Sénat) puis le lendemain de sa publication au JORF. C’est donc à compter de la publication des décrets d’application ou des arrêtés que les mesures techniques de NIS 2 deviendront obligatoires entre entités régulées et prestataires sous-traitants.

Directive NIS2 :

Entrée en vigueur : 16 janvier 2023.
Transposition nationale : avant le 17 octobre 2024.
NIS2 est la directive (UE) 2022/2555. Vous pouvez trouver son texte ici.

Projet de loi “Projet de loi résilience des infrastructures techniques et cybersécurité” :

Adoption prévue : 2024.
Application effective : fin 2024/début 2025, suivant les décrets.
Le projet de loi : Vous pouvez trouver son texte ici.
L’exposé des motifs : Vous pouvez trouver son texte ici.
L’avis du Conseil d’Etat : Vous pouvez trouver son texte ici.
L’étude d’impact : Vous pouvez trouver son texte ici.

Des questions ? Contactez-nous !