NIS2 : de quoi parle-t-on ?
Un rapide descriptif des objectifs de la directive
NIS2 est une directive Européenne qui porte un objectif simple : assurer un niveau de sécurité des réseaux et systèmes d'information qui soit élevé et commun dans toute l'Union.
Pourquoi ? Parce que la menace cyber est devenue systémique. C'est à dire que l'impact d'une attaque sur quelques acteurs peut menacer des secteurs entiers, par effet domino. Ce qui n'est plus tolérable et nécessite un nouveau paradigme pour protéger l'économie et l'administration des pays.
Si certains secteurs sensibles (Opérateurs d'Importance Vitale, organisations soumises à la Loi de Programmation Militaire ou encore organismes financiers) devaient déjà se conformer à des règles fortes, il est devenu nécessaire d'étendre les bonnes pratiques au plus grand nombre.
NIS2, contrairement à certaines normes et standards (ex : ISO 27001) s'applique à la totalité du système d'information, qu'il soit de gestion ou industriel.
NIS2 concerne toutes les organisations appartenant :
- à l'un des 18 secteurs d'activité définis par la directive (les fournisseurs de services numériques, principalement)
- aux entités qui répondent à certains seuils de chiffre d'affaire (10 M€) ou d'effectif (50 employés). Attention, on parle en Unité de Travail Annuel. Et il faut penser "groupe".
On évalue le nombre d'entités concernées entre 10 000 et 15 000, selon les cas. Cela va s'affiner rapidement même si pour certaines entités on ne doute pas un instant de leur catégorisation à venir.
A noter : contrairement à la directive NIS1 qui désignait les entités concernées de façon officielle, NIS2 ne fera pas l'objet d'une communication ciblée. C'est aux entreprises d'identifier si elles sont concernées.
NIS2 définit de manière très claire des niveaux d'exigence de sécurité, applicables selon qu'on soit défini comme un Entité Essentielle (EE) ou une Entité Importante (EI), en fonction du secteur d'activité principalement.
Si on ne doit retenir qu'un objectif, c'est le suivant : NIS2 permet d'élever le niveau global de cybersécurité par l'application de règles harmonisées et simplifiées.