ISGroup Conseil en Cybersécurité

Quels sont les secteurs spécifiques et les types d’entités couverts par la directive NIS2 ?

Voici une ventilation des secteurs spécifiques et des types d’entités couverts par la directive NIS2.

Secteurs et entités couverts par la directive NIS2

La directive NIS2 classe les entités en deux groupes principaux : celles opérant dans des secteurs hautement critiques et celles dans d’autres secteurs critiques. Si vous souhaitez comprendre quel est l’objectif principal de la directive NIS2 avant d’entrer dans les détails du périmètre, vous pouvez commencer par là.

Secteurs hautement critiques

Ces secteurs sont considérés comme essentiels au fonctionnement de l’économie et de la société et sont donc soumis à des exigences de cybersécurité plus strictes. Les secteurs hautement critiques, ainsi que leurs sous-secteurs et des exemples de types d’entités spécifiques, sont énumérés à l’Annexe I du texte officiel de la directive NIS2. Ces secteurs comprennent :

  • Énergie : Ce secteur comprend l’électricité, le chauffage et le refroidissement urbains, le pétrole, le gaz et l’hydrogène. Des exemples d’entités couvertes incluent les fournisseurs d’électricité, les opérateurs de systèmes de transport, les producteurs et gestionnaires de gazoducs et d’oléoducs, ainsi que les installations de stockage.
  • Transports : Ce secteur couvre les transports aériens, ferroviaires, maritimes et routiers. Les entités couvertes incluent les compagnies aériennes, les gestionnaires d’aéroports, les entreprises ferroviaires, les compagnies maritimes, les autorités portuaires et les opérateurs de gestion du trafic.
  • Secteur bancaire : Ce secteur couvre les établissements de crédit tels que définis par les réglementations financières.
  • Infrastructures des marchés financiers : Inclut des entités telles que les plateformes de négociation et les contreparties centrales, cruciales pour le fonctionnement des marchés financiers.
  • Santé : Comprend les prestataires de services de santé et, en particulier, les entités impliquées dans la production de produits pharmaceutiques, y compris les vaccins.
  • Eau potable : Couvre les entités impliquées dans la fourniture et la distribution d’eau potable.
  • Eaux usées : Inclut les entités responsables de la collecte, du traitement et de l’élimination des eaux usées.
  • Infrastructures numériques : Ce secteur couvre un large éventail d’entités fournissant des services numériques cruciaux, notamment les points d’échange Internet, les fournisseurs de services DNS, les registres de noms de domaine de premier niveau (TLD), les fournisseurs de services de cloud computing, les centres de données, les réseaux de diffusion de contenu (CDN), les prestataires de services de confiance et les fournisseurs de réseaux et de services de communications électroniques publics.
  • Gestion des services TIC : Comprend les fournisseurs de services gérés et les fournisseurs de services de sécurité gérés, soulignant l’importance de la cybersécurité pour les services informatiques externalisés.
  • Administration publique : Couvre les entités de l’administration publique tant au niveau central que régional, telles que définies par chaque État membre.
  • Espace : Inclut les opérateurs d’infrastructures terrestres qui soutiennent les services basés sur l’espace, soulignant la dépendance croissante vis-à-vis des ressources spatiales.

[Callforaction-NIS2]

Autres secteurs critiques

Bien qu’ils soient considérés comme moins critiques que les secteurs énumérés ci-dessus, ces secteurs sont néanmoins soumis aux exigences de cybersécurité prévues par la directive NIS2. Des exemples incluent :

  • Services postaux et de courrier
  • Gestion des déchets
  • Industrie chimique
  • Secteur alimentaire
  • Fabrication de divers produits, notamment les dispositifs médicaux, les ordinateurs, l’électronique, les machines, les véhicules à moteur, les remorques et autres équipements de transport
  • Fournisseurs numériques, tels que les places de marché en ligne, les moteurs de recherche en ligne et les plateformes de réseaux sociaux
  • Organismes de recherche

Entités non spécifiquement énumérées à l’Annexe I ou II

Outre les secteurs énumérés, la directive NIS2 couvre :

  • Entités fournissant des services d’enregistrement de noms de domaine : Ces entités sont couvertes indépendamment de leur taille.
  • Entités identifiées comme critiques conformément à la directive (UE) 2022/2557 : Bien qu’elles ne soient pas spécifiquement énumérées à l’Annexe I ou II, ces entités relèvent du champ d’application de la NIS2 en raison de leur criticité déterminée par d’autres réglementations.

Seuil dimensionnel

La directive NIS2 introduit un seuil dimensionnel pour déterminer si une entité dans un secteur couvert est soumise à ses exigences. En règle générale, la directive s’applique aux entreprises de taille moyenne et grande dans les secteurs spécifiés. Toutefois, les États membres ont la flexibilité d’identifier et d’inclure des entités plus petites présentant des profils de risque élevés en matière de sécurité.

Entités exclues de certaines dispositions

Il est important de noter que certaines entités sont exclues de certaines dispositions de la directive NIS2, mais pas de toutes. Par exemple, les entités financières soumises au règlement (UE) 2022/2554 sont exemptées des obligations de gestion des risques de cybersécurité et de signalement prévues par la directive NIS2, car le règlement DORA traite déjà de ces aspects. Cependant, ces entités financières sont tout de même prises en compte dans le contexte des incidents de cybersécurité à grande échelle et des plans de réponse nationaux.

La directive NIS2 vise à créer un paysage de cybersécurité plus robuste et harmonisé dans toute l’UE, en imposant des obligations à un large éventail d’entités opérant dans des secteurs critiques. L’approche globale de la directive reconnaît la nature interconnectée du monde numérique actuel et le potentiel d’effets en cascade découlant d’incidents de cybersécurité. Si votre organisation relève de l’un des secteurs décrits, la première étape concrète consiste à vérifier le périmètre d’application avec le soutien du parcours de conformité NIS2 d’ISGroup.

Pour les organisations qui doivent encore terminer leur enregistrement, il est également utile de consulter les indications de l’ACN sur la liste NIS2 et les échéances pour les entités obligées.

Questions fréquentes sur le périmètre NIS2

  • Comment savoir si mon entreprise relève du périmètre NIS2 ?
  • Vous devez vérifier deux conditions : que le secteur dans lequel vous opérez soit inclus dans l’Annexe I ou II de la directive, et que votre organisation dépasse les seuils dimensionnels prévus (généralement les moyennes et grandes entreprises). Les États membres peuvent toutefois étendre l’obligation à des entités plus petites présentant des profils de risque élevés ; il est donc opportun d’effectuer une évaluation spécifique.
  • Les petites entreprises sont-elles toujours exclues de la NIS2 ?
  • Pas nécessairement. La règle générale exclut les microentreprises et les petites entreprises, mais il existe des exceptions : par exemple, les fournisseurs de services d’enregistrement de noms de domaine sont soumis à la directive quelle que soit leur taille. De plus, chaque État membre peut inclure des entités plus petites qui présentent un risque significatif pour la sécurité.
  • Que se passe-t-il si mon organisation opère dans plusieurs secteurs, dont certains sont couverts et d’autres non ?
  • Dans ce cas, le principe de prévalence s’applique : si une partie importante de l’activité relève d’un secteur couvert par la NIS2, l’ensemble de l’organisation est généralement soumis aux obligations pour cette partie. Il est conseillé d’analyser les unités opérationnelles individuelles et de vérifier au cas par cas, également en fonction des indications de l’autorité nationale compétente.

[Callforaction-NIS2-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *