
Directive NIS2 : comment sera-t-elle retranscrite dans la loi française ?
Articles du même auteur :
3
4
Cette révision étend considérablement le nombre d’organisations critiques soumises à des obligations de cybersécurité.
La directive européenne sur la sécurité des réseaux et des systèmes d’information (NIS) date de juillet 2016. Sa révision, la directive NIS2, a été adoptée par l’Union européenne le 28 novembre 2022. Elle élargit considérablement le périmètre des organisations soumises à des obligations de sécurité, qui devrait passer, en France, d’environ 300 à plus de 10 000.
La directive définit deux niveaux de criticité : les secteurs « essentiels » et « importants ». Les 11 « essentiels » sont : énergie ; transports ; secteur bancaire ; infrastructures des marchés financiers ; santé ; eau potable ; eaux usées ; infrastructures numériques ; gestion des services TIC ; administration publique ; espace.
Les 7 secteurs « importants » sont : services postaux et d’expédition ; gestion des déchets ; industrie des produits chimiques ; production, transformation et distribution de denrées alimentaires ; industrie médicale, informatique, de machines-outils et de véhicules automobiles ; fournisseurs numériques ; recherche. Chaque législateur national peut aussi ajouter ou supprimer des secteurs ou des entités en fonction de la situation de son pays.
La directive NIS2 impose de nouvelles obligations à ces entreprises, notamment :
Les États membres ont jusqu’au 17 octobre 2024 pour transposer la directive NIS2 dans leurs législations nationales. La France l’a intégrée à une phase de consultation pour le second semestre 2023. Un projet de transposition est attendu début 2024.