Retour aux articles
La directive NIS 2, votée le 10 novembre 2022, marque une évolution majeure de la cybersécurité en Europe.
Dans cet article, découvrez l’essentiel à connaître et comment Artecys, expert en cybersécurité, peut vous accompagner dans la mise en conformité selon les recommandations de l’ANSSI.
Qu’est-ce que la directive NIS 2 ?
NIS 2 est la nouvelle directive européenne de cybersécurité qui succède à NIS 1 (2016). Elle renforce l’harmonisation et le niveau de protection des réseaux et systèmes d’information dans l’UE.
Repères : la directive (UE) 2022/2555 est entrée en vigueur en janvier 2023. Les États membres doivent la transposer au plus tard le 17 octobre 2024 ; son application s’impose ensuite aux entités concernées.
Qui est concerné par NIS 2 ?
Beaucoup plus d’organisations qu’avec NIS 1 : on passe d’environ 6 000 entités à près de 160 000 entités publiques et privées dans 18 secteurs :
- Administration publique
- Espace
- Services postaux et d’expédition
- Gestion des déchets
- Industrie chimique (fabrication/production/distribution)
- Agroalimentaire (production/transformation/distribution)
- Fabrication (industrie manufacturière)
- Fournisseurs numériques
- Recherche
Les principaux changements apportés par NIS 2
- Coopération renforcée entre États membres : coordination opérationnelle (notamment le réseau CyCLONe) pour gérer les incidents majeurs.
- Niveaux de criticité : classification en entités essentielles (EE) et entités importantes (EI), avec des exigences et modalités de supervision adaptées.
- Sanctions durcies : régime inspiré du RGPD, avec amendes potentiellement proportionnelles au chiffre d’affaires en cas de non-conformité.
Comment Artecys vous aide à être conforme à NIS 2
- Analyse et diagnostic : cartographie des actifs et dépendances, évaluation des risques, identification des écarts techniques et organisationnels au regard des bonnes pratiques ANSSI.
- Plan d’actions et mise en œuvre : priorisation selon votre criticité (EE/EI) : gouvernance et politiques, durcissement postes/serveurs, EDR, gestion des vulnérabilités et correctifs, sauvegardes 3-2-1, journalisation et supervision (SOC), PCA/PRA, gestion des tiers, etc.
- Formation et sensibilisation : sessions ciblées (métiers, IT, direction) sur phishing, hygiène informatique, gestion d’incident.
- Préparation à l’incident : procédures d’alerte, playbooks et exercices de réponse, obligations de notification.
- Accompagnement continu : indicateurs, revues périodiques, amélioration continue, préparation aux audits des autorités compétentes.
À retenir
NIS 2 est un tournant majeur : plus d’organisations concernées, exigences renforcées, contrôles et sanctions accrus. Agir dès maintenant sécurise votre activité et simplifie la mise en conformité. Contactez Artecys pour évaluer votre exposition à NIS 2 et bâtir un plan de conformité pragmatique et efficace, aligné sur les recommandations de l’ANSSI : https://www.artecys.com/contactez-nous/
