Directive NIS 2 : votre entité est-elle concernée ?
Devant être transposée au plus tard en octobre 2024 en France, la directive européenne NIS 2 marque un changement de paradigme en termes de régulation de la cybersécurité. Par rapport à NIS 1, elle élargit ses objectifs et étend son périmètre d’application. À l’échelle nationale, il est prévu que NIS 2 s’applique à des milliers d’entités appartenant à 18 secteurs d’activité, considérés comme « critiques » ou « hautement critiques ». Comment savoir si votre entité est concernée par NIS 2 ?
L’objectif de NIS 2 : renforcer la cybersécurité des entreprises
Face à des cyberattaques toujours plus ingénieuses, touchant de plus en plus d’entités trop souvent mal protégées, la directive NIS 2 élargit ses objectifs et son périmètre d’application pour renforcer la cybersécurité.
Extension du périmètre aux PME et collectivités territoriales
Selon les observations de l’Anssi (Agence nationale de la sécurité des systèmes d’information – Panorama de la cybermenace 2022), plus de 60 % des attaques qui lui sont remontées concernent des petites structures (PME/TPE/ETI, collectivités territoriales). La tactique des cyberattaquants consiste à remonter les chaînes de sous-traitance plutôt que de cibler directement les clients finaux.
Quel est le périmètre des entités visées par NIS 2 ?
Dans le cadre de la transposition nationale de la directive NIS 2, l’Anssi a collaboré entre autres avec le Cesin (Club des experts de la sécurité de l’information et du numérique).
L’un des premiers enseignements des travaux menés conjointement par l’Anssi et le Cesin, principalement auprès d’ETI et de grandes entreprises, est que « les critères d’éligibilité à NIS 2 soulèvent un certain nombre de questions et le taux d’entreprises qui s’interrogent est relativement élevé ». En effet, « un tiers des participants ne savent pas déterminer si leur entreprise sera assujettie » à NIS 2, ou pas.
Fiche pratique : êtes-vous concerné par NIS 2 ?
La fiche pratique (cliquez sur l’image ci-dessous), sous forme de logigramme, est destinée à vous guider dans la réponse à cette question.
Cette fiche se base sur le texte de la directive européenne et représente un cheminement simplifié et qui devra être confirmé par la transposition nationale de la directive, attendue en octobre 2024.
Article extrait du n° 602 de Face au Risque : « Les Pfas dans les rejets acqueux » (juillet-août 2024).
Félix Pichard
Lead Consultant Cyberdéfense à CNPP Conseil & formation cybersécurité
Bernard Jaguenaud – Rédacteur en chef
En ce moment
Les méthodes normalisées de référence pour les mesures dans l’air, l’eau et les sols dans les installations classées pour…
-
L’association Euralarm a publié un document de position actualisé sur le règlement (UE) 2023/1542, fournissant des orientations aux autorités de…
-
S’il est aujourd’hui admis que les entreprises doivent garantir un accès facilité aux personnes en situation de handicap moteur, les…
-
La 2e édition des Assises de la prévention incendie, organisée en novembre 2025 par la FNSPF et la SFPE *,…
Installation, maintenance, utilisation du défibrillateur, responsabilité de l'employeur : que dit la réglementation pour les ERP du 1er groupe…
-
En cas d'accident du travail, le non-respect par le salarié des consignes verbales reçues n’est pas une condition nécessaire pour…
