NIS 2 : Une nouvelle directive pour renforcer la cybersécurité sur le marché européen

La directivre NIS élargit ses objectifs et son périmètre d’application pour plus de protection. Elle inclut dorénavant les PME/TPE/ETI/Collectivité territoriales suite à un rapport de l’ANSSI (Agence Nationale de la sécurité des systèmes d’information en France) qui dénombre que 60% des cyberattaques concernent ces structures. Cette nouvelle directive vise aussi à inciter les entreprises concernées à renforcer leur coopération en matière de gestion des crises cyber.

Qui est concerné par la directive NIS V2 ?

En France, NIS 2 s’appliquera aux entités essentiels (EE) et à des milliers d’entités importantes (EI) réparties dans plus de dix-huit secteurs différents :

Source : Webinaire ANSSI du 16/05/2023 : https://www.ssi.gouv.fr/actualite/webinaire-nis-2-presentation-de-la-directive-et-de-sa-transposition-nationale/

Les entités essentielles (EE) correspondent à l’ensemble des entités de taille intermédiaire ou grande, compris dans le secteur d’activité de l’annexe 1. Correspondant aux critères de seuils suivants :

Source : Webinaire ANSSI du 16/05/2023 : https://www.ssi.gouv.fr/actualite/webinaire-nis-2-presentation-de-la-directive-et-de-sa-transposition-nationale/

Les entités importantes (EI) correspondent à toutes entités du périmètre qui n’est pas essentiel au regard des critères et cas exposés sera par défaut importante.

La directive offre également la possibilité à l’ANSSI de designer des entités spécifiquement.

Qu’est ce que mon entreprise risque en cas de non-respect de cette directive ?

Pour non-respect de la directive NIS v2, les entités essentielles risquent une amende de 10 M€ ou au moins 2% du CA. Pour les entités importantes, le montant s’élève à 7M€ ou au moins 1,4% du CA

Les équipes cybersécurité N-CyP (DATIVE Cyber) vous tiendront informés de l’évolution de la mesure et sa mise en application.