ISGroup Conseil en Cybersécurité

Directive NIS2 : À qui s’applique-t-elle ?

La directive NIS2 couvre un large éventail de secteurs et de types d’entités dans l’UE, dans le but de renforcer la cybersécurité à travers toute l’Union. Si vous souhaitez savoir si votre organisation entre dans le périmètre, la première étape consiste à vérifier votre secteur d’activité et la taille de votre entreprise.

Voici un aperçu des entités soumises aux réglementations de la directive :

Entités essentielles et importantes

La directive NIS2 classe les entités en fonction de leur impact potentiel sur les services essentiels et les fonctions sociales. Deux catégories principales sont définies :

  • Entités essentielles : Il s’agit de celles dont l’interruption aurait un impact significatif sur les services essentiels et les fonctions sociales. Cette catégorie comprend les grandes entités opérant dans des secteurs spécifiques, tels que l’énergie, les transports, la santé et les infrastructures des marchés financiers.
  • Entités importantes : Cette classification regroupe les entités considérées comme importantes pour certains secteurs, mais dont l’interruption n’aurait pas le même impact diffus que celui des entités essentielles. Typiquement, cette catégorie inclut les entreprises de taille moyenne opérant dans des secteurs tels que les services postaux et de messagerie, la gestion des déchets et les fournisseurs de services numériques.

[Callforaction-NIS2]

La directive NIS2 énumère explicitement les secteurs et sous-secteurs soumis à ses réglementations en matière de cybersécurité. Ceux-ci sont divisés en “secteurs hautement critiques” et “autres secteurs critiques”, en fonction de leur importance pour le fonctionnement global de l’UE. Voici un résumé :

Secteurs hautement critiques

  • Énergie : Inclut l’électricité, le chauffage et le refroidissement urbains, le pétrole, le gaz et l’hydrogène.
  • Transports : Couvre les transports aériens, ferroviaires, maritimes et routiers.
  • Secteur bancaire
  • Infrastructures des marchés financiers
  • Santé : Inclut la production de produits pharmaceutiques, y compris les vaccins.
  • Eau potable
  • Eaux usées
  • Infrastructures numériques : Comprend les points d’échange Internet, les fournisseurs de services DNS, les registres de noms de domaine de premier niveau (TLD), les fournisseurs de services de cloud computing, les fournisseurs de services de centres de données, les réseaux de diffusion de contenu (CDN), les fournisseurs de services de confiance et les fournisseurs de réseaux de communications électroniques publics et de services de communications électroniques accessibles au public.
  • Gestion des services TIC : Inclut les fournisseurs de services gérés et les fournisseurs de services de sécurité gérés.
  • Administration publique
  • Espace

Autres secteurs critiques

  • Services postaux et de messagerie
  • Gestion des déchets
  • Industrie chimique
  • Secteur alimentaire
  • Fabrication de dispositifs médicaux, d’ordinateurs et d’électronique, de machines et équipements, de véhicules à moteur, remorques et semi-remorques et autres moyens de transport
  • Fournisseurs de services numériques : Inclut les places de marché en ligne, les moteurs de recherche en ligne et les plateformes de réseaux sociaux.
  • Organismes de recherche

Considérations sur le seuil de taille

Bien que les seuils de taille spécifiques ne soient pas détaillés dans ces sections des sources, il est important de noter que toutes les entreprises de taille moyenne et grande opérant dans les secteurs énumérés sont généralement soumises aux réglementations de la NIS2. Cela représente un changement significatif par rapport à la NIS1, qui se concentrait sur un nombre limité d’opérateurs désignés. Si votre organisation opère dans l’un de ces secteurs, il convient de vérifier attentivement votre périmètre d’application : le parcours de mise en conformité avec la directive NIS2 commence précisément par cette évaluation initiale.

Considérations supplémentaires sur la directive NIS2

La directive NIS2 confère aux États membres une certaine flexibilité dans l’identification des entités soumises à ses réglementations.

  • Entités à profil de risque élevé : Les États membres ont la discrétion d’identifier des entités plus petites présentant un profil de risque de sécurité élevé qui devraient être incluses, même si elles ne respectent pas les dimensions typiques prévues.
  • Entités fournissant des services d’enregistrement de noms de domaine : Indépendamment de leur taille, les entités fournissant ces services entrent dans le champ d’application de la directive NIS2.

Exemptions de la directive NIS2

Bien que la directive NIS2 vise une couverture complète de la cybersécurité, elle prévoit certaines exemptions.

  • Activités de sécurité nationale et publique : Les entités opérant dans des secteurs tels que la sécurité nationale, la sécurité publique, la défense et les forces de l’ordre peuvent être exemptées de certaines obligations de la directive NIS2.
  • Entités fournissant des services exclusivement à l’Administration publique : Les entités fournissant des services exclusivement à des organismes d’Administration publique indiqués dans la directive peuvent également être exemptées.
  • Entités exemptées en vertu du règlement DORA : Les entités déjà exemptées en vertu du règlement sur la résilience opérationnelle numérique pour le secteur financier (DORA) ne sont pas soumises aux exigences de la directive NIS2.

Alignement avec la législation sectorielle spécifique

La directive NIS2 souligne l’alignement avec la législation sectorielle existante et future de l’Union. Dans les cas où cette législation prévoit des mesures de gestion des risques de cybersécurité ou des exigences de signalement des incidents ayant des effets équivalents ou plus stricts que la directive NIS2, la législation sectorielle spécifique prévaut. Un exemple pertinent est la relation entre la directive NIS2 et le règlement DORA dans le secteur financier.

Pour approfondir le cadre réglementaire complet, vous pouvez consulter le document officiel de la directive NIS2 ou lire quel est l’objectif principal de la directive NIS2. Si votre organisation est déjà en phase d’enregistrement, vous trouverez des informations pratiques sur le fonctionnement de la liste ACN et les échéances pour les entités NIS2.

Questions fréquentes sur l’application de la directive NIS2

  • Les petites entreprises sont-elles toujours exclues de la directive NIS2 ?
  • En règle générale, oui : la NIS2 s’applique aux moyennes et grandes entreprises opérant dans les secteurs couverts. Toutefois, les États membres peuvent inclure des entités plus petites si elles présentent un profil de risque élevé, et certaines catégories — comme les fournisseurs de services d’enregistrement de noms de domaine — entrent dans le périmètre indépendamment de leur taille.
  • Les fournisseurs et sous-traitants d’une entité soumise à la NIS2 doivent-ils également se mettre en conformité ?
  • La directive n’impose pas d’obligations directes aux fournisseurs de la chaîne d’approvisionnement, mais les entités soumises sont tenues de gérer les risques liés à leurs fournisseurs TIC. En pratique, cela se traduit souvent par des exigences contractuelles de sécurité que les fournisseurs doivent respecter pour continuer à travailler avec les entités NIS2.
  • Comment vérifier concrètement si son organisation entre dans le périmètre NIS2 ?
  • La première étape consiste à vérifier si le secteur d’activité figure parmi ceux énumérés dans les annexes de la directive, puis à contrôler si les seuils de taille prévus sont dépassés (au moins 50 employés ou 10 millions d’euros de chiffre d’affaires pour les moyennes entreprises). En Italie, l’ACN gère le processus d’enregistrement et fournit des indications opérationnelles pour l’auto-évaluation.

[Callforaction-NIS2-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *