directive NIS2

La Directive Network Information and Security* (Directive NIS) ((UE) 2016/1148) a pour but d'assurer une sécurité uniforme et élevée des réseaux et systèmes d'information à travers l'Union Européenne. En France, sa transposition cherche à garantir la continuité des activités cruciales pour l'économie et la société en sécurisant les systèmes d'information qui les soutiennent.

Elle a été élaborée pour protéger les entités économiques ayant un impact significatif sur l'ensemble de l'Union Européenne, notamment le secteur de la santé. En France, l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) est en charge de son application.

Devant l'évolution de la cybermalveillance et l'hétérogénéité entre les membres de l'UE, le champ d'application initial de la directive NIS a du être élargi, et a donné lieu à la Directive NIS 2, qui met un accent particulier sur la sécurisation de la chaîne d'approvisionnement et la gestion des risques liés aux tiers et sous-traitants.1

La directive a été transposée dans chaque pays de l'UE à compter du 17 octobre 2024.

* Sécurité des réseaux et des systèmes d'information

Objectifs de la directive NIS 2

La nouvelle version de la directive doit rehausser et harmoniser le niveau global de cybersécurité dans les 27 États de l’UE afin de renforcer la résilience des infrastructures critiques européennes. Elle intègre de nouveaux secteurs et s’applique à davantage d’entités.

Elle vise à :

  • Sensibiliser à l’importance de la cybersécurité
  • Mettre en place une cybersécurité de masse
  • Donner un calendrier de mise en place
  • Impliquer davantage les directions
  • Imposer une communication en cas d’attaque
  • Sanctionner si nécessaire
NIS2
NIS2

En quoi êtes-vous concerné ?

Quelques chiffres éloquents concernant le secteur de la santé2 :

  • 39 % des structure ont du mettre en place un fonctionnement en mode dégradé du système de prise en charge des patients en 2022
  • Le secteur de la santé est le 3ème secteur économique le plus touché par les cyberattaques
  • Les établissement publics de santé représentent 10 % des attaques par rançongiciel
  • 43 incidents de sécurité ont été recensés dans le secteur de la santé en France entre janvier 2021 et mars 2023

Le prix d'un dossier médical sur le darkweb étant 2,5 fois supérieur aux autres types de documents, les données sont donc encore plus convoitées que les renseignements bancaires

Obligations des entités concernées

Un mécanisme de proportionnalité a été introduit dans la directive NIS2, classant les entités en "importantes" ou "essentielles", selon leur degré de criticité, leur taille et leur chiffre d'affaires.3

Chaque état membre de l'UE devra établir la liste des entités essentielles (EE) et entités importantes (EI) avant le 17 avril 2025.

Chaque entité régulée devra4 :

  • fournir certaines informations à l'ANSSI
  • mettre en place des mesures de gestion des risques adaptées (définies par l'article 21 de la directive),
  • déclarer ses incidents de sécurité. 

En outre, l'article 20 stipule que chaque membre des organes de direction des entités importantes et essentielles doit suivre une formation, et que les membres du personnel de l'entité doivent être encouragés à faire de même, pour acquérir une connaissance de base et les sensibiliser à la gestion des risques liés à la cybersécurité.4

NIS2
NIS2

Les sanctions

La directive NIS 2 prévoit un renforcement des sanctions en cas de non-conformité par rapport à la directive NIS, et notamment introduit la notion de responsabilité des dirigeant des entités régulées.

Pour les entités essentielles, les sanctions peuvent être :

  • Suspension des certifications
  • Interdiction temporaire de l'exercice des fonctions de direction
  • 10 millions d'euros, ou 2% du chiffre d'affaires annuel mondial

Pour les entités importantes, les sanctions peuvent être :

  • 7 millions d'euros ou 1,4% du chiffres d'affaires annuel mondial.

Faites-vous partie des entités importantes ou essentielles ?

Faites le test pour le savoir !

Vous souhaitez en savoir plus sur la directive NIS 2 

N'hésitez pas à visionner le replay de notre webinaire "La cybersécurité : Comprendre la Directive NIS 2 et son application en France"

Cela pourrait vous intéresser

...
    ...

    Référence :

    1. La directive NIS 2, Agence nationale de la sécurité des systèmes d'information (ANSII) . Disponible à l'adresse suivante : https://cyber.gouv.fr/la-directive-nis-2 (dernière consultation : 19/11/2024)
    2. Panorama de la cybermenace 2023, Agence nationale de la sécurité des systèmes d'information (ANSII) . Disponible à l'adresse suivante : https://cyber.gouv.fr/actualites/lanssi-publie-le-panorama-de-la-cybermenace-2023 (dernière consultation : 19/11/2024)
    3. Directive NIS 2, monEspaceNIS2, disponible à l'adresse suivante : https://monespacenis2.cyber.gouv.fr/ (dernière consultation : 19/11/2024)
    4. Directive NIS 2, monEspaceNIS2, disponible à l'adresse suivante : https://aide.monespacenis2.cyber.gouv.fr/fr/article/quelles-sont-les-exigences-en-matiere-de-cybersecurite-auxquelles-les-entites-regulees-a-la-directive-nis-2-devront-se-soumettre-193huwi/ (dernière consultation : 19/11/2024)

    MC-FR-02865  - Etabli : 02/2025