{"id":22050,"date":"2024-07-24T15:27:41","date_gmt":"2024-07-24T13:27:41","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=22050"},"modified":"2024-07-24T15:27:41","modified_gmt":"2024-07-24T13:27:41","slug":"what-is-nis2-directive","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/what-is-nis2-directive\/22050\/","title":{"rendered":"Qu&rsquo;est-ce que la directive NIS 2 et comment s&rsquo;y pr\u00e9parer ?"},"content":{"rendered":"<p>Le sujet d\u2019aujourd\u2019hui est la directive NIS\u00a02, qui vise \u00e0 am\u00e9liorer la cyberr\u00e9silience des infrastructures critiques et des entit\u00e9s essentielles et importantes. Au sein de l\u2019UE, la directive NIS\u00a02 devrait faire pour la s\u00e9curit\u00e9 de l\u2019information ce que le RGPD a fait pour la confidentialit\u00e9 des donn\u00e9es des utilisateurs.<\/p>\n<p>La transposition de cette nouvelle directive dans les l\u00e9gislations nationales ne saurait tarder, si bien que si votre entreprise n\u2019est pas encore pr\u00eate, il est temps de prendre les mesures appropri\u00e9es.<\/p>\n<h2>Qu\u2019est-ce que la directive NIS\u00a02\u00a0?<\/h2>\n<p>La directive r\u00e9vis\u00e9e sur la s\u00e9curit\u00e9 des r\u00e9seaux et de l\u2019information (<a href=\"https:\/\/digital-strategy.ec.europa.eu\/fr\/policies\/nis2-directive\" target=\"_blank\" rel=\"noopener nofollow\">directive NIS\u00a02<\/a>) d\u00e9finit la l\u00e9gislation europ\u00e9enne en mati\u00e8re de cybers\u00e9curit\u00e9. La directive NIS\u00a02 met \u00e0 jour et compl\u00e8te la directive NIS originale, adopt\u00e9e en 2016, et cr\u00e9e un cadre juridique pour am\u00e9liorer le niveau g\u00e9n\u00e9ral de cybers\u00e9curit\u00e9 \u00e0 travers l\u2019UE.<\/p>\n<p>La directive r\u00e9vis\u00e9e NIS\u00a02 se concentre sur trois points principaux\u00a0:<\/p>\n<ul>\n<li><strong>Extension de son champ d\u2019application<\/strong>: aux sept secteurs d\u00e9j\u00e0 couverts par la directive NIS originale s\u2019ajoute un certain nombre de nouveaux secteurs.<\/li>\n<li><strong>Nouveaux m\u00e9canismes pour les rapports d\u2019incidents et pour le partage d\u2019informations<\/strong>: la directive NIS\u00a02 impose la notification en temps opportun des incidents significatifs.<\/li>\n<li><strong>Renforcement de la lutte contre la non-conformit\u00e9<\/strong>: la directive r\u00e9vis\u00e9e NIS\u00a02 introduit des sanctions particuli\u00e8res en cas de non-conformit\u00e9, notamment des amendes pouvant atteindre 2\u00a0% du chiffre d\u2019affaires mondial annuel.<\/li>\n<\/ul>\n<h2>\u00c0 quelles organisations s\u2019applique la directive NIS\u00a02\u00a0?<\/h2>\n<p>Comme indiqu\u00e9 pr\u00e9c\u00e9demment, la directive r\u00e9vis\u00e9e \u00e9largit <em>consid\u00e9rablement<\/em> son champ d\u2019application par rapport \u00e0 la version originale de 2016. Par ailleurs, la directive NIS\u00a02 introduit une classification qui r\u00e9partit les secteurs couverts en deux cat\u00e9gories\u00a0:<\/p>\n<ul>\n<li><strong>Secteurs hautement critiques (annexe\u00a0I)\u00a0:<\/strong>\n<ul>\n<li>\u00c9nergie (\u00e9lectricit\u00e9, chauffage et rafra\u00eechissement urbains, gaz, hydrog\u00e8ne, p\u00e9trole)<\/li>\n<li>Transports (a\u00e9rien, ferroviaire, maritime, routier)<\/li>\n<li>Banque<\/li>\n<li>Infrastructure des march\u00e9s financiers<\/li>\n<li>Sant\u00e9<\/li>\n<li>Eau potable<\/li>\n<li>Eaux us\u00e9es<\/li>\n<li>Infrastructure num\u00e9rique<\/li>\n<li>Gestion des services TIC (MSP, MSSP)<\/li>\n<li>Entit\u00e9s de l\u2019administration publique<\/li>\n<li>Espace<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<ul>\n<li><strong>Autres secteurs critiques (annexe\u00a0II)\u00a0:<\/strong>\n<ul>\n<li>Services postaux et de courrier<\/li>\n<li>Gestion des d\u00e9chets<\/li>\n<li>Fabrication, production et distribution de produits chimiques<\/li>\n<li>Production, traitement et distribution de denr\u00e9es alimentaires<\/li>\n<li>Industrie manufacturi\u00e8re (dispositifs m\u00e9dicaux, produits informatiques, \u00e9lectroniques ou optiques, mat\u00e9riel \u00e9lectrique, machines, v\u00e9hicules \u00e0 moteur, autre mat\u00e9riel de transport)<\/li>\n<li>Fournisseurs de services num\u00e9riques<\/li>\n<li>L\u2019\u00e9tude<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<p>En plus de la classification des secteurs, la directive NIS\u00a02 introduit une classification compl\u00e9mentaire d\u2019entit\u00e9s particuli\u00e8res. Ces entit\u00e9s sont \u00e9galement r\u00e9parties en deux cat\u00e9gories\u00a0:<\/p>\n<ul>\n<li><strong>Essentielles (article\u00a03.1)\u00a0:<\/strong>\n<ul>\n<li>Grandes entit\u00e9s (chiffre d\u2019affaires annuel sup\u00e9rieur \u00e0 50\u00a0millions d\u2019euros) dans les secteurs hautement critiques<\/li>\n<li>Autorit\u00e9s de certification, bureaux d\u2019enregistrement de domaines de haut niveau et fournisseurs DNS, quelle que soit la taille de l\u2019entreprise<\/li>\n<li>Fournisseurs de t\u00e9l\u00e9communications, \u00e0 partir d\u2019une taille moyenne (chiffre d\u2019affaires sup\u00e9rieur \u00e0 10\u00a0millions d\u2019euros)<\/li>\n<li>Institutions de l\u2019administration publique<\/li>\n<li>Toute entit\u00e9 appartenant \u00e0 un secteur hautement critique ou \u00e0 tout autre secteur critique et d\u00e9finie comme <em>essentielle<\/em> par un \u00c9tat membre de l\u2019UE<\/li>\n<li>Entit\u00e9s <em>critiques<\/em> au sens de <a href=\"https:\/\/eur-lex.europa.eu\/eli\/dir\/2022\/2557\/oj\" target=\"_blank\" rel=\"noopener nofollow\">la directive (UE) 2022\/2557<\/a><\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<ul>\n<li><strong>Importantes (article\u00a03.2)\u00a0:<\/strong>\n<ul>\n<li>Entit\u00e9s de taille moyenne (chiffre d\u2019affaires annuel entre 10\u00a0et\u00a050\u00a0millions d\u2019euros) dans les secteurs hautement critiques<\/li>\n<li>Moyennes et grandes entit\u00e9s dans d\u2019autres secteurs critiques<\/li>\n<li>Toute entit\u00e9 d\u00e9finie comme <em>importante<\/em> par un \u00c9tat membre de l\u2019UE<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<p>La cat\u00e9gorie \u00e0 laquelle appartient une entit\u00e9 entra\u00eene des implications pratiques significatives. Les activit\u00e9s des entit\u00e9s class\u00e9es comme <em>essentielles<\/em> sont soumises \u00e0 une surveillance beaucoup plus stricte et proactive, y compris des inspections al\u00e9atoires, des contr\u00f4les de s\u00e9curit\u00e9 sp\u00e9ciaux et des demandes de preuves de conformit\u00e9. En cas de non-conformit\u00e9 \u00e0 la directive NIS\u00a02, les entit\u00e9s <strong><em>essentielles<\/em><\/strong> <strong>peuvent se voir infliger une amende pouvant atteindre 10\u00a0millions d\u2019euros ou 2\u00a0% de leur chiffre d\u2019affaires annuel mondial<\/strong>.<\/p>\n<p>Les entit\u00e9s class\u00e9es comme importantes peuvent quant \u00e0 elles respirer un peu plus, car elles sont soumises \u00e0 des contr\u00f4les moins stricts. <strong>Pour les entit\u00e9s<\/strong> <strong><em>importantes<\/em>, les sanctions sont un peu plus raisonnables, puisqu\u2019elles peuvent atteindre 7\u00a0millions d\u2019euros ou 1,4\u00a0% de leur chiffre d\u2019affaires annuel mondial<\/strong>.<\/p>\n<h2>Chronologie de la directive NIS\u00a02<\/h2>\n<p>Notez que, contrairement au RGPD, la directive NIS\u00a02 est une <a href=\"https:\/\/european-union.europa.eu\/institutions-law-budget\/law\/types-legislation_fr\" target=\"_blank\" rel=\"noopener nofollow\">directive<\/a>, et non un <em>r\u00e8glement<\/em> de l\u2019Union europ\u00e9enne. Dans ce cas-l\u00e0, les \u00c9tats membres de l\u2019UE sont l\u00e9galement tenus de modifier leur l\u00e9gislation nationale dans un d\u00e9lai donn\u00e9. Dans le cas de la directive NIS\u00a02, l\u2019\u00e9ch\u00e9ance est fix\u00e9e au 17\u00a0octobre\u00a02024.<\/p>\n<p>En outre, les \u00c9tats membres de l\u2019UE devront dresser des listes d\u2019entit\u00e9s <em>essentielles<\/em> et <em>importantes<\/em> soumises \u00e0 la directive NIS\u00a02 d\u2019ici le 17\u00a0avril\u00a02025.<\/p>\n<p>\u00c0 ce stade, il appara\u00eet utile de revenir sur la chronologie des principales \u00e9tapes de la directive NIS\u00a02\u00a0:<\/p>\n<ul>\n<li>6\u00a0juillet\u00a02016\u00a0: adoption de <a href=\"https:\/\/eur-lex.europa.eu\/eli\/dir\/2016\/1148\/oj\" target=\"_blank\" rel=\"noopener nofollow\">la directive (UE) 2016\/1148<\/a>, soit la directive NIS originale<\/li>\n<li>9\u00a0mai\u00a02018\u00a0: date limite accord\u00e9e aux \u00c9tats membres de l\u2019UE pour transposer la directive NIS dans leur l\u00e9gislation nationale<\/li>\n<li>7\u00a0juillet\u00a02020\u00a0: ouverture des consultations de la Commission europ\u00e9enne (CE) sur la r\u00e9vision de la directive NIS<\/li>\n<li>16\u00a0d\u00e9cembre\u00a02020\u00a0: publication de la proposition pour la directive NIS\u00a02 par la CE<\/li>\n<li>13\u00a0mai\u00a02022\u00a0: vote du Parlement europ\u00e9en sur l\u2019adoption de la directive NIS\u00a02<\/li>\n<li>10\u00a0novembre\u00a02022\u00a0: approbation de la directive NIS\u00a02 par le Conseil de l\u2019UE<\/li>\n<li>14\u00a0d\u00e9cembre\u00a02022\u00a0: publication de la directive NIS\u00a02 au Journal officiel de l\u2019UE sous le titre <a href=\"https:\/\/eur-lex.europa.eu\/eli\/dir\/2022\/2555\/oj\" target=\"_blank\" rel=\"noopener nofollow\">Directive (UE) 2022\/2555<\/a><\/li>\n<li>16\u00a0janvier\u00a02023\u00a0: entr\u00e9e en vigueur de la directive NIS\u00a02<\/li>\n<li>17\u00a0octobre\u00a02024\u00a0: date limite accord\u00e9e aux \u00c9tats membres de l\u2019UE pour transposer la directive NIS\u00a02 dans leur l\u00e9gislation nationale<\/li>\n<li>17\u00a0avril\u00a02025\u00a0: date limite accord\u00e9e aux \u00c9tats membres de l\u2019UE pour dresser leurs listes d\u2019entit\u00e9s <em>essentielles<\/em> et <em>importantes<\/em>. Par la suite, ces listes doivent \u00eatre mises \u00e0 jour r\u00e9guli\u00e8rement, au moins tous les deux ans.<\/li>\n<li>17\u00a0octobre\u00a02027\u00a0: r\u00e9vision de la directive NIS\u00a02<\/li>\n<\/ul>\n<h2>Comment vous pr\u00e9parer \u00e0 la mise en \u0153uvre de la directive NIS\u00a02\u00a0?<\/h2>\n<ul>\n<li>D\u00e9terminez si les exigences de la directive NIS\u00a02 s\u2019appliquent \u00e0 votre entreprise, et dans quelle mesure.<\/li>\n<li>Enqu\u00eatez sur la mani\u00e8re dont la directive NIS a \u00e9t\u00e9 transpos\u00e9e dans la l\u00e9gislation nationale de votre \u00c9tat membre de l\u2019UE.<\/li>\n<li>Suivez les recommandations des autorit\u00e9s nationales de cybers\u00e9curit\u00e9.<\/li>\n<li>D\u00e9veloppez et \u00e9valuez des mesures techniques, op\u00e9rationnelles et organisationnelles en lien avec la gestion des r\u00e9seaux et des syst\u00e8mes d\u2019information et avec les risques pour la s\u00e9curit\u00e9.<\/li>\n<\/ul>\n<p>De plus amples informations sur la directive r\u00e9vis\u00e9e de l\u2019UE sur la s\u00e9curit\u00e9 des r\u00e9seaux et de l\u2019information et sur la mani\u00e8re dont les entreprises peuvent se pr\u00e9parer \u00e0 son entr\u00e9e en vigueur sont disponibles sur notre <a href=\"https:\/\/go.kaspersky.com\/nis2-directive.html\" target=\"_blank\" rel=\"noopener nofollow\">site d\u00e9di\u00e9 \u00e0 la directive NIS\u00a02<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>La directive r\u00e9vis\u00e9e de l&rsquo;UE sur la s\u00e9curit\u00e9 des r\u00e9seaux et de l&rsquo;information, baptis\u00e9e directive NIS 2, est entr\u00e9e en vigueur en janvier 2023. Les \u00c9tats membres ont jusqu&rsquo;au 17 octobre 2024 pour la transposer dans leur l\u00e9gislation nationale. Qu&rsquo;est-ce que cela signifie et comment s&rsquo;y pr\u00e9parer ?<\/p>\n","protected":false},"author":2726,"featured_media":22052,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2112,9,3150],"tags":[4490,136,795,204,4491,2837,4493,61,4492,2213],"class_list":{"0":"post-22050","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-tips","9":"category-enterprise","10":"tag-conformite","11":"tag-entreprise","12":"tag-infrastructure-critique","13":"tag-menaces","14":"tag-nis-2","15":"tag-rgpd","16":"tag-sci","17":"tag-securite","18":"tag-securite-des-systemes-de-controle-industriel","19":"tag-ue"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/what-is-nis2-directive\/22050\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/what-is-nis2-directive\/30234\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/what-is-nis2-directive\/29090\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/what-is-nis2-directive\/51536\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/what-is-nis2-directive\/31472\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/conformite\/","name":"Conformit\u00e9"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/22050","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/2726"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=22050"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/22050\/revisions"}],"predecessor-version":[{"id":22054,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/22050\/revisions\/22054"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/22052"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=22050"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=22050"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=22050"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}