Tout ce qu’il faut savoir sur la nouvelle réglementation européenne en cybersécurité
La directive NIS 2 vise à renforcer la cybersécurité des acteurs essentiels et importants en Europe. Elle élargit le champ d’application de la précédente directive NIS 1 et impose de nouvelles obligations en matière de gestion des risques, de notification des incidents et de formation du management. Des sanctions pécuniaires et non pécuniaires sont prévues en cas de non-respect. Cet article fait le point sur les principaux changements et enjeux de cette nouvelle réglementation.
Points clés
- La directive NIS 2 fait suite à la directive NIS 1 adoptée en 2016 et vise à mieux réguler la cybersécurité en Europe
- Elle s’applique à deux catégories d’entités : les entités essentielles (EE) et les entités importantes (EI), selon leur taille et leur criticité
- Les entités concernées auront de nouvelles obligations en termes de gestion des risques, de notification des incidents et de formation du management
- Des sanctions pécuniaires allant jusqu’à 2% du chiffre d’affaires mondial pour les EE et 1,4% pour les EI sont prévues en cas de non-respect
- La directive NIS 2 entrera en vigueur le 17 octobre 2024, mais les entités devront se déclarer auprès des autorités d’ici le 17 avril 2025
- L’ANSSI jouera un rôle majeur dans la mise en œuvre de la directive en France, avec des pouvoirs de contrôle et de sanction
À retenir
Avec la directive NIS 2, l’Europe montre sa détermination à renforcer la cybersécurité de ses acteurs stratégiques. Les entreprises concernées devront s’y préparer dès maintenant, en mettant à niveau leurs pratiques de gestion des risques et de sécurité de l’information. Mieux vaut prévenir que guérir, surtout quand les sanctions peuvent être salées ! Mais bon, ce n’est qu’une directive européenne de plus, rien de bien méchant, n’est-ce pas ?
Sources
