ISGroup Conseil en Cybersécurité

Comment la directive NIS2 définit-elle les entités « essentielles » et « importantes », et quel est l’impact sur leurs obligations de signalement ?

La directive NIS2 établit un système à deux niveaux pour classer les entités relevant de son champ d’application : les entités essentielles et les entités importantes. Cette classification, basée sur l’importance perçue de l’entité et sur l’impact potentiel sur les services essentiels et la société, influence directement leurs obligations en matière de cybersécurité, y compris la déclaration des incidents. Pour approfondir le cadre réglementaire de référence, le document officiel de la directive NIS2 est disponible.

[Callforaction-NIS2]

Entités essentielles

  • Définition : La directive NIS2 fournit une définition à multiples facettes des « entités essentielles », qui comprend plusieurs catégories :
  • Entités listées à l’Annexe I qui dépassent le seuil dimensionnel des moyennes entreprises tel que défini dans la recommandation 2003/361/CE. L’Annexe I inclut des secteurs considérés comme « hautement critiques », tels que l’énergie, les transports, le secteur bancaire, la santé et les infrastructures numériques.
  • Entités spécifiques indépendamment de leur taille, notamment les prestataires de services de confiance qualifiés, les registres de noms de domaine de premier niveau, les fournisseurs de services DNS et les fournisseurs de réseaux publics de communications électroniques ou de services de communications électroniques accessibles au public.
  • Entités de l’administration publique du gouvernement central telles que définies par la législation nationale de chaque État membre.
  • Toute autre entité listée aux Annexes I ou II (qui incluent « d’autres secteurs critiques ») qu’un État membre identifie comme essentielle sur la base des critères décrits à l’Article 2(2)(b-e). Ces critères examinent si une interruption des services de l’entité pourrait :
    • Affecter significativement la sécurité publique, la sécurité nationale ou la santé publique.
    • Entraîner un risque systémique significatif, en particulier dans les secteurs ayant un impact transfrontalier potentiel.
    • Avoir un impact significatif sur des activités sociales ou économiques critiques au niveau national ou régional en raison de l’importance particulière de l’entité dans ce secteur ou cette zone de service.
  • Entités désignées comme « critiques » en vertu de la directive (UE) 2022/2557.
  • Entités identifiées comme opérateurs de services essentiels par un État membre avant le 16 janvier 2023, conformément à la directive (UE) 2016/1148 ou à la législation nationale.
  • Obligations de déclaration : Les entités essentielles sont soumises à un régime de supervision plus rigoureux et sont tenues de respecter toutes les exigences de déclaration des incidents décrites dans la directive NIS2. Cela inclut :
  • Alerte préliminaire : Fournir une alerte au CSIRT ou à l’autorité compétente dans les 24 heures suivant le moment où elles prennent connaissance d’un incident significatif.
  • Notification de l’incident : Envoyer une notification plus détaillée dans les 72 heures.
  • Rapport final : Fournir un rapport complet dans un délai d’un mois après la notification de l’incident.

Entités importantes

  • Définition : La directive NIS2 définit les « entités importantes » comme celles appartenant aux secteurs listés aux Annexes I ou II qui ne sont pas classées comme entités essentielles. Cette catégorie inclut les entités identifiées par les États membres comme importantes sur la base des critères de l’Article 2(2)(b-e) mentionnés précédemment.
  • Obligations de déclaration : Bien que les entités importantes soient soumises aux exigences de déclaration des incidents de la directive NIS2, elles sont soumises à un régime de supervision moins strict que les entités essentielles. De plus, le niveau des sanctions administratives en cas de violation des obligations de déclaration est inférieur à celui prévu pour les entités essentielles.

Impact de la classification

La classification d’une entité comme « essentielle » ou « importante » a des implications significatives pour ses obligations de cybersécurité en vertu de la directive NIS2 :

  • Mesures de supervision : Les entités essentielles sont soumises à des mesures de supervision plus rigoureuses et proactives de la part des autorités compétentes que les entités importantes. Cela inclut des audits réguliers, des inspections sur site et des demandes d’informations.
  • Application des sanctions : La directive NIS2 établit un cadre pour les sanctions en cas de non-conformité. Bien que les deux catégories puissent être pénalisées pour des violations, les entités essentielles font face à des sanctions administratives plus élevées, reflétant leur impact potentiel plus important sur la société et l’économie.
  • Responsabilité : La directive met l’accent sur la responsabilité individuelle des dirigeants de haut niveau, tant dans les entités essentielles que dans les entités importantes, en veillant à ce qu’il y ait une responsabilité au niveau organisationnel pour les mesures de cybersécurité adoptées.

En substance, le système à deux niveaux de la directive NIS2 reconnaît les différents niveaux de risque et d’impact potentiel associés aux diverses entités opérant dans les secteurs critiques. En classant les entités comme « essentielles » ou « importantes », la directive applique une approche proportionnée aux obligations de cybersécurité : comprendre dans quelle catégorie se situe votre organisation est la première étape concrète pour mettre en place un parcours structuré de conformité à la NIS2.

[Callforaction-NIS2-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *