Directive NIS2 - Aperçu et statu quo
Qu'est-ce que la directive NIS2 ?
La directive NIS2 (NIS = Network and Information Security) est une évolution de la directive NIS initiale de l'Union européenne, entrée en vigueur en 2016. L'objectif de la NIS2 est de renforcer encore la cybersécurité dans l'UE, d'améliorer la capacité de défense contre les cyberattaques et d'accroître la résilience des infrastructures critiques. La directive NIS 2 a été publiée le 27 décembre 2022 et est entrée en vigueur le 16 janvier 2023.
La transformation numérique apporte de nombreux avantages, mais augmente en même temps la vulnérabilité aux cybermenaces. Les attaques contre les infrastructures critiques, telles que l'approvisionnement en énergie, les soins de santé et les transports, peuvent avoir de graves conséquences pour la société et l'économie. C'est pourquoi la directive NIS2 a été élaborée afin de garantir une approche plus robuste et plus cohérente de la cybersécurité au sein de l'UE.
À qui s'applique la NIS2 ?
D'ici octobre 2024, tous les pays de l'Union européenne doivent intégrer les réglementations dans leur législation nationale. En outre, à partir d'octobre 2024, toutes les entreprises de 18 secteurs définis, employant au moins 50 personnes et réalisant un chiffre d'affaires de 10 millions d'euros, seront tenues de mettre en œuvre la NIS2.
Les secteurs concernés en Allemagne sont les exploitants d'infrastructures critiques (également appelés « KRITIS »), qui sont déjà légalement tenus par la loi sur la sécurité informatique 2.0 de prendre des mesures en matière de sécurité de l'information à partir de certains seuils. Cependant, de nombreux fournisseurs communaux se situent en dessous de ces seuils, c'est pourquoi la NIS2 élargit désormais les secteurs existants et en ajoute d'autres :
Secteurs à haute criticité
- Énergie
- Transports
- Secteur bancaire
- Marchés financiers
- Santé
- Eau potable
- Eaux usées
- Infrastructure numérique
- Services IT/TIC (B2B)
- Administration publique
- Espace
Autres secteurs critiques
- Services postaux et de courrier
- Gestion des déchets
- Produits chimiques
- Alimentation
- Industrie (par ex. construction mécanique)
- Services numériques
- Recherche
Principales nouveautés de la NIS2
- Champ d'application élargi : la directive couvre davantage de secteurs que son prédécesseur, et le seuil de qualification de « service essentiel » a été abaissé, de sorte que davantage d'entreprises et d'organisations sont concernées par la directive.
- Coopération et coordination renforcées : une coopération plus étroite entre les États membres et l'Agence européenne pour la cybersécurité (ENISA) est demandée. Les exercices de cybersécurité communs et l'échange de bonnes pratiques doivent être encouragés.
- Obligations pour les entreprises : Les entreprises seront tenues de respecter des exigences de sécurité renforcées, y compris l'introduction de mesures de gestion des risques et de délais spécifiques pour la notification des cyberincidents, afin de permettre des réactions plus rapides.
- Sanctions : La directive prévoit des sanctions plus sévères en cas de non-respect, y compris des amendes élevées, afin de garantir la conformité. En outre, les autorités nationales disposent de pouvoirs accrus pour faire appliquer la directive.
Quel est le statu quo en Allemagne ?
Actuellement, on travaille à l'intégration de la directive dans la législation nationale. La loi qui en résulte s'appelle « NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz » (NIS2UmsuCG). Malgré le projet de loi et la consultation, le pays ne s'attend pas à ce que la loi finale soit adoptée dans les délais prévus, à savoir en octobre 2024. D'autres pays de l'UE ont également annoncé qu'ils ne pourraient pas respecter ce délai.
Que peuvent faire les entreprises concernées dès aujourd'hui ?
Malgré l'absence de loi, les entreprises concernées peuvent d'ores et déjà déduire des mesures importantes sur la base de la directive. Le processus de mise en œuvre étant complexe, il est recommandé de commencer à planifier et à mettre en œuvre le plus rapidement possible afin d'être bien positionné après l'adoption de la loi et d'éviter les sanctions.
Nous pouvons vous aider à examiner ou à mettre en œuvre la directive NIS2 dans votre entreprise grâce à des conseillers spécialisés. N'hésitez pas à nous contacter :
Crowe BPG Beratungs- und Prüfungsgesellschaft mbH
Christian Maruhn
Téléphone : 02151 508 400
E-mail : maruhn@crowe-bpg.de