Article

Comment déterminer si mon entreprise est soumise à la directive NIS 2 ?

Ismail Boudebbane
By:
Comment déterminer si mon entreprise est soumise à la directive NIS 2 ?

Ce n’est pas nouveau, le risque cybersécurité s’est installé au cœur des préoccupations des organes de gouvernances européens. Les vastes chantiers de numérisation des 30 dernières années l’ont propulsé au grade de risque systémique, pouvant mettre en péril la stabilité de toute l’Union européenne.

L’application de la directive NIS initiale (NIS 1 - Network and Information Security) a mis en lumière les faits : déstabiliser l’un des acteurs économiques agissant à l’échelle du marché européen est susceptible d’engendrer une désorganisation bien plus globale des Etats et des populations qui les composent.

La directive NIS 2 poursuit la lutte en proposant des évolutions tant majeures qu’ambitieuses. Si elle impose comme sa petite sœur de renforcer le niveau de cybersécurité et de résilience des entités publiques et privées à l’échelle européenne, le changement de paradigme s’opère tout d’abord, dans l’élargissement du périmètre d’application, dans l’obligation de notifier les incidents, ainsi que dans l’implication souhaitée des dirigeants d’entreprise sur la question cyber et enfin, dans la mention des premières sanctions.

En complément, le second volet de la directive NIS fût l’occasion pour ses concepteurs de demander le renforcement des mesures de gestion des risques et de cybersécurité nécessaires à la bonne protection des organismes concernés.

Adjugé : le Parlement européen puis, le Conseil de l’Union européenne ont adopté la directive NIS 2, respectivement les 10 et 28 novembre 2022. Elle est entrée en vigueur le 17 janvier 2023.

Qui est concerné ?

NIS 2 élargit son champ d’application par rapport au NIS 1. Elle concernera donc 18 secteurs d’activités et différents types d’entités. En France, nous passerons de 300 entités régulées par le NIS 1 à 10 000 entités régulées par le NIS 2.

Ainsi, une entité entre dans le champ d’application de NIS 2 si :

  • Elle est active dans l’un des secteurs (ou sous-secteurs) des annexes 1 et 2,
  • Elle fait partie de l’un des deux types énumérés (par sa taille, le nombre d’employés et le chiffre d’affaires). Dans ce cas, seules les moyennes, intermédiaires et grandes entreprises sont impactées.

Concernant les secteurs concernés, ils ont été catégorisés en deux groupes :

étapes-NIS-2

La catégorisation est assez complexe et pour cela l’ANSSI nous propose d’utiliser le tableau suivant : 

étapes-NIS-2

Exemple 1 : Je suis une entreprise qui fabrique les pièces automobiles et j’emploie plus de 50 collaborateurs, je suis impactée par NIS 2.

Exemple 2 : Je suis un infogérant qui emploie 40 collaborateurs, mais je réalise plus de 10 millions de chiffre d'affaires. Je suis impacté par NIS 2.

Exemple 3  : Je suis une entreprise qui recycle les déchets, j’ai moins de 50 collaborateurs et je réalise moins de 10 millions de chiffre d’affaires avec un bilan inférieur à 10 millions. Je ne suis pas impactée par NIS 2.

Afin de pouvoir vérifier si vous êtes impactés, nous vous proposons d’utiliser cet arbre de décision :

étapes-NIS-2

Toutefois, les fournisseurs de réseaux de communications électroniques publics, les entités identifiées comme critiques au niveau national, les entités de l’administration publique, les prestataires de services de confiance qualifiés et les registres de noms de domaines de premier niveau ainsi que les fournisseurs de services DNS sont rentrés dans le giron du NIS 2 quels que soient leur taille et chiffre d’affaires.

En complément, l’ANSSI pourra également identifier spécifiquement des entités à inclure ou à exclure, notamment dans des secteurs où peu d’entités sont actives et où une cyberattaque pourrait avoir un impact néfaste sur la sécurité, la sûreté ou la santé publique.

Quelles sont les prochaines étapes ?

Grâce à NIS 2, nous entrons dans une nouvelle ère plus sécurisée et plus coordonnée.

Afin de répondre aux premières sollicitations de ses clients, Grant Thornton a mis en œuvre une démarche d’accompagnement éprouvée, basée sur cinq phases, qui peuvent être réalisées individuellement ou d’une manière intégrée :

étapes-NIS-2Les entreprises auront un délai pour être conformes à NIS 2 et mettre en place un plan d’actions solide, fiable et pragmatique, proportionné à leurs moyens. Cependant, la conformité à la directive n’étant pas très éloignée des standards actuels, elles peuvent s’y préparer dès maintenant. En effet, identifier les écarts potentiels entre ces normes et l’existant donne plus de chance d’être au rendez-vous le 17 octobre 2024.

Pour plus d’information, nous vous invitons à consulter notre article : « Enjeux et points clés de la directive NIS2 ».