Partagez notre article , Choisissez votre plateforme

La sécurité des systèmes d’information est aujourd’hui un pilier essentiel de la sécurité et de la résilience des organisations. Depuis 2023, les services Hébergement Haute Disponibilité et Hébergement de Données Sensibles de Déessi sont certifiés ISO 27001 et HDS, démontrant notre engagement et notre expertise en matière d’hébergement informatique professionnel. Afin de continuer d’améliorer nos procédures et de répondre aux exigences règlementaires, nous avons entrepris une mise en conformité avec la directive NIS2.

NIS2 : qu’est-ce que c’est ?

Originellement, la directive NIS est une règlementation adoptée en 2016 par le Parlement européen et le Conseil de l’Union européenne pour renforcer la cybersécurité des entreprises et organisations européennes dans 10 secteurs clés.

Comme spécifié sur le site officiel de l’ANSSI, la directive NIS2 élargit les objectifs et le périmètre d’application de la NIS pour renforcer la sécurité des réseaux et des systèmes d’information des acteurs européens, en apportant davantage de protection.

Date d’entrée en vigueur en France : La directive NIS2 entrera en vigueur au plus tard en octobre 2024.

Quelles sont les obligations des entreprises soumises à la NIS2 ?

Les entreprises concernées par la NIS2 ont pour obligation de mettre en œuvre des mesures appropriées pour gérer les risques liés à la sécurité de leurs réseaux et systèmes d’information. Ces mesures doivent être établies, en fonction, entre autre (liste non exhaustive) de la nature des services fournis, de la taille et de la complexité de l’entité, des impacts potentiels des incidents, des éventuelles exigences règlementaires etc… Il s’agit de protéger le réseau et le système de l’entreprise, mais aussi, ses utilisateurs et les autres personnes éventuellement exposés aux menaces.

La NIS2 établit également des règles en matière de signalement d’incidents, de partages d’informations concernant les menaces potentielles et de coopération en cas d’incidents, mais aussi pour les échanges d’expertise, la surveillance et la supervision de ces menaces. Ces règles de coopération doivent permettre aux autorités de mieux comprendre les situations et d’intervenir si nécessaire. Elles doivent également améliorer la vigilance et la préparation des entreprises à ces menaces au sein de l’ensemble des secteurs concernés.

Enfin, autre obligation de la NIS2, les structures concernées doivent régulièrement évaluer les mesures de sécurité mises en place. Ces évaluations doivent être proactives et mises à jour en fonction des évolutions des menaces et de l’environnement opérationnel, mais aussi des évolutions des pratiques et des incidents passés. De plus, il est nécessaire de conserver une documentation reprenant l’ensemble des évaluations effectuées et leurs évolutions.

Pour une description plus précise de ces obligations, se référer au texte officiel : https://eur-lex.europa.eu/eli/dir/2022/2555

Quelles sont les sanctions encourues en cas de non-respect ?

La directive NIS2 prévoit que les États membres établissent un cadre de sanctions significatives, en fonction de la gravité de l’infraction, pouvant aller de l’amende administrative aux mesures correctives jusqu’à l’interdiction d’exercer l’activité ou encore une responsabilité sur le plan civil pour les dommages causés par des incidents de sécurité informatique résultant du non-respect des obligations.

Selon l’entité qui nous concerne en France, c’est-à-dire l’ANSSI, il pourra ainsi s’agir, par exemple, d’un pourcentage du chiffre d’affaires mondial de l’entité concernée, 2 % pour les entités essentielles et 1,4 % pour les entités importantes, à l’instar de ce qui est appliqué pour le RGPD. Pour consulter les dernières informations à ce sujet, rendez-vous sur la section NIS2 du site de l’ANSSI.

Quelles sont les structures concernées ?

La directive NIS2 est obligatoire pour les organisations de plus de 50 salariés, réalisant plus d’un million d’euros de chiffre d’affaires et exerçant dans certains secteurs spécifiques, entre autres, la santé, l’énergie, les transports, le secteur bancaire, l’industrie, l’agroalimentaire ou encore les fournisseurs de services numériques. La directive s’adresse ainsi à la fois aux structures publiques et privées et concerne près de 35 secteurs différents.

Découvrez ci-dessous les principaux secteurs soumis à la directive NIS2 à la date de rédaction de cet article.

Cette liste pouvant évoluer, nous vous recommandons consulter la liste des secteurs directement sur le site EUR-Lex, portail officiel en ligne du droit européen.

  • Électricité
    • Entreprises d’électricité
    • Gestionnaires de réseau de distribution
    • Gestionnaires de réseau de transport
    •  Producteurs
    • Opérateurs désignés du marché de l’électricité
    • Acteurs du marché fournissant des services d’agrégation, de participation active de la demande ou de stockage d’énergie
    • Exploitants d’un point de recharge
  •  Réseaux de chaleur et de froid
    • Opérateurs de réseaux de chaleur ou de réseaux de froid
  •  Pétrole
    • Exploitants d’oléoducs
    • Exploitants d’installations de production, de raffinage, de traitement, de stockage et de transport de pétrole
    • Entités centrales de stockage
  •  Gaz
    • Entreprises de fourniture
    • Gestionnaires de réseau de distribution
    • Gestionnaires de réseau de transport
    • Gestionnaires d’installation de stockage
    • Gestionnaires d’installation de GNL
    • Entreprises de gaz naturel
    • Exploitants d’installations de raffinage et de traitement de gaz naturel
  • Hydrogène
    • Exploitants de systèmes de production, de stockage et de transport d’hydrogène

  • Transports aériens
    • Transporteurs aériens utilisés à des fins commerciales
    • Entités gestionnaires d’aéroports
    • Services du contrôle de la circulation aérienne
  •  Transports ferroviaires
    • Gestionnaires de l’infrastructure
    • Entreprises ferroviaires
  •  Transports par eau
    • Sociétés de transport par voie d’eau intérieure, maritime et côtier de passagers et de fret
    • Entités gestionnaires des ports
    • Exploitants de services de trafic maritime (STM)
  •  Transports routiers
    • Autorités routières chargées du contrôle de la gestion de la circulation
    • Exploitants de systèmes de transport intelligents

  • Établissements de crédit

  • Exploitants de plates-formes de négociation
  • Contreparties centrales

  • Prestataires de soins de santé
  • Laboratoires de référence de l’Union européenne
  • Entités exerçant des activités de recherche et de développement dans le domaine des médicaments
  • Entités fabriquant des produits pharmaceutiques de base et des préparations pharmaceutiques
  • Entités fabriquant des dispositifs médicaux considérés comme critiques en cas d’urgence de santé publique

  • Fournisseurs d’eaux destinées à la consommation humaine
  • Distributeurs d’eaux destinées à la consommation humaine

  • Entreprises collectant, évacuant ou traitant les eaux urbaines résiduaires
  • Entreprises collectant, évacuant ou traitant les eaux ménagères usées
  • Entreprises collectant, évacuant ou traitant les eaux industrielles usées

  • Fournisseurs de points d’échange internet
  • Fournisseurs de services DNS
  • Registres de noms de domaine de premier niveau
  • Fournisseurs de services d’informatique en nuage
  • Fournisseurs de services de centres de données
  • Fournisseurs de réseaux de diffusion de contenu
  • Prestataires de services de confiance
  • Fournisseurs de réseaux de communications électroniques publics
  • Fournisseurs de services de communications électroniques accessibles au public

  • Fournisseurs de services gérés
  • Fournisseurs de services de sécurité gérés

  • Entités de l’administration publique des pouvoirs publics centraux
  • Entités de l’administration publique au niveau régional

  • Exploitants d’infrastructures terrestres soutenant la fourniture de services spatiaux

  • Prestataires de services postaux et d’expédition

  • Entreprises exécutant des opérations de gestion des déchets

  • Entreprises procédant à la fabrication, la distribution de substances et la production d’articles à partir de substances ou de mélanges

  • Entreprises du secteur alimentaire exerçant des activités de distribution en gros
  • Entreprises du secteur alimentaire exerçant des activités de production
  • Entreprises du secteur alimentaire exerçant des activités de transformation industrielles

  • Fabrication de dispositifs médicaux et de dispositifs médicaux de diagnostic in vitro
  • Fabrication de produits informatiques, électroniques et optiques
  • Fabrication d’équipements électriques
  • Fabrication de machines et équipements n.c.a.
  • Construction de véhicules automobiles, remorques et semi-remorques
  • Fabrication d’autres matériels de transport

  • Fournisseurs de places de marché en ligne
  • Fournisseurs de moteurs de recherche en ligne
  • Fournisseurs de plateformes de services de réseaux sociaux

  • Organismes de recherche

Pour rappel : Cette liste pouvant ne pas être exhaustive ou évoluer, nous vous recommandons consulter la liste des secteurs directement sur le site EUR-Lex, portail officiel en ligne du droit européen. Merci également de nous signaler toute erreur ou remarque via notre formulaire de contact

Déessi annonce sa conformité NIS2

En nous basant sur les méthodologies employées pour notre conformité ISO 27001 et HDS, nous avons adopté une démarche couvrant à la fois les aspects techniques et les aspects organisationnels de la sécurité des systèmes d’informations, permettant notre conformité aux principes fondamentaux de la directive NIS2.

Nous démontrons ainsi notre engagement envers la protection de nos actifs informationnels, et réaffirmons auprès de nos clients et des autorités réglementaires notre souci constant de sécurité. Nous restons déterminés à maintenir les normes les plus élevées en matière de sécurité de l’information et nous nous engageons à continuer d’innover et d’améliorer nos pratiques.

Nous vous accompagnons à la mise en conformité NIS2

Intéressé par la mise en conformité NIS2 pour votre propre système d’information ? Au-delà de notre propre conformité, nous proposons à nos clients un accompagnement leur permettant de mettre en œuvre ces principes dans la gestion de leur propre système d’information.

N’hésitez pas à nous contacter afin d’être accompagné par nos experts dans cette démarche, en prévision de l’entrée en vigueur de la directive en octobre 2024. Contactez-nous dès à présent !

Partagez notre article , Choisissez votre plateforme

Table des matières :

Inscrivez-vous à la newsletter Déessi !

« * » indique les champs nécessaires

Politique de confidentialité.*
Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.

Catégories :

Actualités ivision (26) Audit informatique / SI (3) Cloud Computing (41) Collectivites (1) Communication clients (7) DSI (57) E-commerce (2) Gestion de crise (10) Green IT (2) Hébergement professionnel (22) Infographies (16) Infogérance (22) Ingénierie et développement (11) Livre blanc (3) Maintenance informatique (5) Messagerie hébergée (2) PCA/PRA (10) Quizz (2) RGPD (7) Résilience informatique (14) Sauvegarde externalisée (7) Sécurité informatique (63) Télétravail (6)