InfraCyb
Retour au blog
Réglementation
8 min

Comprendre la directive NIS2 et ses impacts

Analyse détaillée des nouvelles obligations de cybersécurité pour les entités essentielles et importantes en Europe. Êtes-vous concerné ?

Thomas Dubois

Thomas Dubois

Consultant GRC

Publié le 15 janvier 2024
Comprendre la directive NIS2 et ses impacts

La directive NIS2 marque un tournant majeur dans la législation européenne sur la cybersécurité. Elle élargit considérablement le champ d'application de la directive NIS initiale et renforce les exigences de sécurité.

Pourquoi NIS2 ?

Face à l'augmentation des cybermenaces et à la numérisation croissante de la société, l'Union Européenne a jugé nécessaire de mettre à jour son cadre législatif. L'objectif est d'atteindre un niveau commun élevé de cybersécurité dans l'ensemble de l'Union.

Qui est concerné ?

La directive distingue deux catégories d'entités :

  • Entités essentielles : Énergie, transports, banques, infrastructures des marchés financiers, santé, eau potable, eaux usées, infrastructures numériques, gestion des services TIC, administration publique et espace.
  • Entités importantes : Services postaux, gestion des déchets, fabrication, production et distribution de produits chimiques, production et transformation de denrées alimentaires, fabrication (dispositifs médicaux, ordinateurs, etc.), fournisseurs de services numériques et recherche.

Les nouvelles obligations

Les entreprises concernées devront mettre en œuvre des mesures techniques, opérationnelles et organisationnelles pour gérer les risques liés à la sécurité des réseaux et des systèmes d'information. Cela inclut :

  • L'analyse des risques et les politiques de sécurité des systèmes d'information.
  • La gestion des incidents (prévention, détection et réponse).
  • La continuité des activités (gestion des sauvegardes, reprise après sinistre).
  • La sécurité de la chaîne d'approvisionnement.
  • La sécurité de l'acquisition, du développement et de la maintenance des réseaux et des systèmes d'information.
  • Des politiques et des procédures pour évaluer l'efficacité des mesures de gestion des risques de cybersécurité.
  • Des pratiques de base en matière de cyberhygiène et formation à la cybersécurité.

Sanctions

Le régime de sanctions est considérablement durci, avec des amendes pouvant atteindre pour les entités essentielles jusqu'à 10 000 000 EUR ou 2 % du chiffre d'affaires annuel mondial total.

#NIS2
#Conformité
#Cybersécurité
#Europe
Thomas Dubois

À propos de Thomas Dubois

Consultant GRC chez InfraCyb. Expert passionné par les technologies cloud et la sécurité offensive. Partage régulièrement ses analyses sur les nouvelles menaces.