NIS2 : quelles obligations pour la cybersécurité de votre entreprise ?

Qu’est-ce que la directive NIS 2 ?

Publiée au Journal Officiel de l’Union européenne en décembre 2022, la directive européenne NIS 2 (Network and Information Security 2) vise à renforcer la résilience des entités publiques et privées face aux cybermenaces. Elle remplace la directive NIS 1, en élargissant notamment le champ d’application à un plus grand nombre d’entreprises.

L’objectif : imposer des normes minimales de cybersécurité aux acteurs jugés essentiels au bon fonctionnement de l’économie et de la société, et améliorer la coopération entre États membres en cas d’incident majeur.

Qui est concerné par NIS 2 ?

C’est l’un des changements majeurs : NIS 2 s’adresse désormais à plus de secteurs, y compris ceux qui n’étaient pas couverts par la première version. Parmi les secteurs visés : Énergie, Transport, Finance et services bancaires, Santé, Infrastructures numériques, Gestion des eaux, Administration publique, Services de gestion des déchets…

Mais au-delà des secteurs, ce sont aussi les tailles d’entreprises qui entrent en ligne de compte. Toute entité de plus de 50 salariés ou réalisant plus de 10 M€ de chiffre d'affaires, dans un secteur concerné, est désormais potentiellement soumise à la directive.

À noter : vous pouvez être concerné indirectement. Par exemple, si vous êtes sous-traitant d’une entreprise du secteur de l’énergie ou de la santé, celle-ci pourra exiger que vous appliquiez certaines mesures de cybersécurité pour continuer à travailler avec elle. Dans les faits, NIS 2 a donc un impact qui dépasse largement la liste officielle des entités couvertes.

Une infographie téléchargeable en bas de page vous permet d’évaluer rapidement si votre entreprise est concernée. Vous pouvez également retrouver la liste des secteurs concernés sur le site MonEspaceNIS2. 

Quelles obligations pour les entreprises ?

Les entreprises assujetties doivent mettre en place une série de mesures techniques, organisationnelles et procédurales, parmi lesquelles :

• Évaluation et gestion des risques liés à la cybersécurité.
• Mise en œuvre de politiques de sécurité des systèmes d’information.
• Gestion des incidents et obligation de déclaration sous 24h.
• Audit régulier et contrôle de conformité.
• Formation du personnel aux risques numériques.

Les manquements peuvent faire l’objet de sanctions financières importantes, ainsi que de mesures administratives.

Pour aller plus loin, consultez l'éclairage de notre expert : NIS2 et cybersécurité : les clés de lecture de Lionel Mourer (Metsys).

Comment se préparer à NIS 2 ?

La mise en conformité avec NIS 2 ne se limite pas à la technique : c’est une démarche transversale qui doit impliquer la direction générale, les équipes IT, juridiques, RH… Voici quelques pistes :

• Réaliser un diagnostic de maturité cybersécurité.
• Identifier les actifs critiques à protéger.
• Mettre à jour ou rédiger une politique de cybersécurité.
• Définir un plan de réponse aux incidents.
• Impliquer les parties prenantes internes dès maintenant.

Et maintenant ?

En France, la transposition de NIS 2 est en cours. Mais les entreprises ont tout intérêt à anticiper dès maintenant pour éviter les effets de seuil et les mises en conformité dans l’urgence.

Chez BNP Paribas, nous accompagnons les entreprises dans cette transformation à travers nos partenariats avec Metsys, acteur clé de la cybersécurité “Avec Metsys, protégez votre entreprise des cyberattaques” et Stoïk, la première agence de souscription spécialisée sur le risque cyber en Europe à destination des PME et ETI “Anticipez les cybermenaces et assurez votre entreprise avec Stoïk”. 

Si vous êtes concerné, parlez-en à votre chargé d’affaires pour initier les premiers diagnostics ou orienter vos démarches.