NIS 2 : ce qu’il faut savoir sur la nouvelle directive européenne de cybersécurité

La directive européenne NIS 2, effective à partir du 17 octobre 2024, vise à renforcer la sécurité des réseaux et systèmes d'information dans l'Union européenne.

Cette nouvelle version étend le champ d’application de la directive NIS de 2016, qui se limitait aux opérateurs de services essentiels (OSE) et fournisseurs de services numériques (FSN). Désormais, plus de 10 000 structures, réparties sur 18 secteurs, seront concernées, allant des infrastructures numériques aux services de santé, en passant par l’énergie et les transports.

Les entités devront respecter trois obligations principales :

partager certaines informations avec les autorités compétentes,
gérer les risques cyber de manière proactive,
déclarer les incidents de sécurité ayant un impact significatif.

Ces obligations visent à standardiser et à renforcer la résilience face aux cybermenaces grandissantes.

Les sanctions pour non-conformité peuvent atteindre jusqu’à 2 % du chiffre d’affaires pour les entités jugées essentielles, et 1,4 % pour les entités importantes. Un délai de tolérance de trois ans est cependant accordé pour permettre aux entreprises de s’adapter progressivement à ces nouvelles exigences, avec une mise en conformité totale attendue d’ici 2027.

Pour aider les organisations dans cette transition, l’Anssi met à disposition des outils de soutien, dont le site MonEspaceNIS2, permettant de vérifier la conformité d’une entreprise et de se tenir informé des évolutions liées à la directive.