La directive NIS 2


sécurité des réseaux et des systèmes d’Information

Pour qui ?

Plusieurs milliers d’entités concernées sur 18 secteurs d’activité

Collectivités territoriales

Administrations publiques

blank

Moyennes entreprises
(50-249 employés)

blank

Grandes entreprises

(+250 employés)

 

Les secteurs concernés :

Secteurs hautement critiques

    dministrations publiques

    Eaux potable

    Eaux usées

    Énergies

    Espace

    Gestion des services Technologies de l’Information et de la Communication (interentreprises)

    Infrastructures des marchés financiers

    Infrastructures numériques

    Santé

    Secteur bancaire

    Transports

    Autres secteurs critiques

    Fabrication, production et distribution de produits chimiques

    Fournisseurs numériques

    Gestion des déchets

    Industrie manufacturière

    Production, transformation et distribution de denrées alimentaires

    Recherche

    Services postaux et d’expédition

    Quelles obligations pour les entités ?

    Les entités relevant du périmètre d’application seront tenues de s’enregistrer auprès de l’autorité nationale compétente et de lui transmettre certaines informations (en les tenant à jour le cas échéant). La liste de ces informations à transmettre (qui comprendra à minima celles définies par le paragraphe 4 de l’article 3 et par l’article 27 de la directive NIS 2) sera fixée par décret.

    Pour faciliter cet enregistrement, l’ANSSI mettra à disposition une plateforme en ligne.

    À noter : il revient à chaque entité d’évaluer si elle entre dans le périmètre d’application de la directive NIS 2, et peut utiliser le simulateur MonEspaceNIS2 pour l’accompagner en ce sens.

    Simulateur MonEspaceNSI2 (ANSSI)

    La gestion des risques cyber

    Les entités devront mettre en place des mesures juridiques, techniques et organisationnelles pour gérer les risques qui menacent la sécurité de leurs réseaux et de leurs systèmes d’information.

    Ces mesures comprennent au moins :

    • les politiques relatives à l’analyse des risques et à la sécurité des systèmes d’information ;
    • la gestion des incidents ;
    • la continuité des activités, par exemple la gestion des sauvegardes et la reprise des activités, et la gestion des crises ;
    • la sécurité de la chaîne d’approvisionnement, y compris les aspects liés à la sécurité concernant les relations entre chaque entité et ses fournisseurs ou prestataires de services directs ;
    • la sécurité de l’acquisition, du développement et de la maintenance des réseaux et des systèmes d’information, y compris le traitement et la divulgation des vulnérabilités ;
    • des politiques et des procédures pour évaluer l’efficacité des mesures de gestion des risques en matière de cybersécurité ;
    • les pratiques de base en matière de cyberhygiène et la formation à la cybersécurité ;
    • des politiques et des procédures relatives à l’utilisation de la cryptographie et, le cas échéant, du chiffrement ;
    • la sécurité des ressources humaines, des politiques de contrôle d’accès et la gestion des actifs ;
    • l’utilisation de solutions d’authentification à plusieurs facteurs ou d’authentification continue, de communications vocales, vidéo et textuelles sécurisées et de systèmes sécurisés de communication d’urgence au sein de l’entité, selon les besoins.

     

    Ces mesures, issues des articles 20 et 21 de la directive NIS 2, seront déclinées au niveau réglementaire en vingt objectifs de sécurité, avec des niveaux d’exigence distincts et proportionnés entre entités essentielles et entités importantes.

    Par ailleurs, en raison de la nature transfrontalière de leurs services, certaines entités du secteur des infrastructures numériques, de gestion des services des technologies de l’information et de la communication (TIC) et des fournisseurs numériques font l’objet d’un règlement d’exécution spécifique de la Commission européenne (accessible en français ici). Par conséquent, elles ne sont pas soumises au socle de mesures de sécurité NIS 2 définies pour les entités établies en France.

    Les types d’entités concernés par ce règlement d’exécution sont les suivants :

    • Au titre de l’annexe I, secteur 8 « Infrastructure numérique » de la directive NIS 2 :
      • les fournisseurs de services DNS, à l’exclusion des opérateurs de serveurs racines de noms de domaine ;
      • les registres de noms de domaine de premier niveau ;
      • les fournisseurs de services d’informatique en nuage (cloud) ;
      • les fournisseurs de services de centres de données ;
      • les fournisseurs de réseaux de diffusion de contenu ;
      • les prestataires de services de confiance.
    • Au titre de l’annexe I, secteur 9 « Gestion des services TIC » de la directive NIS 2 :
      • les fournisseurs de services gérés ;
      • les fournisseurs de services de sécurité gérés.
    • Au titre de l’annexe II, secteur 6 « Fournisseurs numériques » de la directive NIS 2 :
      • les fournisseurs de places de marché en ligne ;
      • les fournisseurs de moteurs de recherche en ligne ;
      • les fournisseurs de plateformes de services de réseaux sociaux.

     

    La déclaration d’incidents

    Les entités devront signaler à l’autorité nationale désignée leurs incidents de sécurité ayant un impact important et fournir des rapports concernant l’évolution de la situation.

    source : https://monespacenis2.cyber.gouv.fr/directive#secteurs-activite

    Vous avez besoin de conseils pour votre projet ?
    Vous avez une question d'ordre général ?

    Contactez-nous
    03 27 63 76 09
    ou envoyez nous un message

    Politique de confidentialité

    * champs obligatoires