logo-phinasoft
Menu
Menu

Directive NIS 2 : quels sont les secteurs concernés ?

Bannière NIS 2

écrit par Clément Rose     |    22/07/2024     |     7 min de lecture

Le 10 novembre 2022, les députés européens ont adopté la directive NIS 2 (Network and Information Security 2) qui a pour objectif de renforcer les exigences en matière de cybersécurité pour les entreprises européennes. Elle approfondit la directive NIS, votée 6 ans plus tôt mais qui n’était pas suffisante pour faire face à l’augmentation de cyberattaques sur le continent européen. Pour mieux comprendre le passage de NIS à NIS 2, vous pouvez vous référer à cet article de blog.

 

Un des principaux changements concerne le champ des entités concernées par la nouvelle directive, bien plus étendu. Qui est concerné par la Directive NIS 2 ?

I. Les organisations concernées par NIS 2

A) Lieu de l'organisation

Selon l’article 2 du texte officiel, la directive concerne uniquement des organisations qui fournissent leurs services ou exercent leurs activités au sein de l’UE. C’est ensuite à chaque pays de se charger des organisations fournissant un service ou exerçant une activité sur leur territoire. Par exemple, la transposition de NIS 2 en Belgique, déjà votée le 26 avril 2024 et appelée la loi établissant un cadre pour la cybersécurité des réseaux et des systèmes d’information d’intérêt général pour la sécurité publique concerne les uniquement les entreprises belges.

B) Taille de l'organisation

NIS 2 s’appliquera pour toutes les organisations considérées comme des moyennes ou grandes entreprises au sens de la recommandation 2003/361/CE de la Commission du 6 mai 2003 . 

 

Selon ce mode de calcul, la taille de l’entreprise s’évalue non seulement par le nombre de salariés mais aussi par son chiffre d’affaires annuel. Ainsi, une moyenne entreprise vérifie au moins un des deux points suivants :

    • Au moins 50 travailleurs à temps plein 
    • Au moins 10 millions d’euros de chiffre d’affaires annuel total

 

Ce critère de taille ne sera toutefois pas une condition nécessaire pour deux cas particuliers. Quelle que soit leur taille, les entités appartenant à une des de ces deux types d’organisations seront nécessairement concernés par NIS 2 :

    • Les infrastructures numériques fournissant certains services (services DNS, registres de nom de domaine de premier niveau, services de confiance qualifiés, réseaux de communications électroniques publics, services de communications électroniques publics, services de communications électroniques accessibles au public)
    • Administration publique (pouvoirs centraux et au niveau régional) 

C) Services fournis

Le texte européen liste en annexe tous les secteurs pour lesquels la directive s’appliquera. 

L’annexe 1 définit les “secteurs hautement critiques” : 

  • Energie (électricité, réseaux de chaleur et de froid, pétrole, gaz, hydrogène)
  • Transport (aériens ferroviaires, par eau, routiers)
  • Secteur bancaire
  • Infrastructure des marchés financiers
  • Santé
  • Eau potable
  • Eaux usées
  • Infrastructure numérique
  • Adminstration publique
  • Espace

L’annexe 2 définiles “autres secteurs critiques”

  • Services postaux et d'expéditions
  • Gestion des déchets
  • Fabrication, production et distribution de produits chimiques
  • Production, transformation et distribution des denrées alimentaires
  • Fabrication
  • Fournisseurs numériques
  • Recherche

Ces 3 critères permettent ainsi de déterminer si son organisation sera assujettie au texte européen. Si vous voulez être sûr que votre organisation est concernée ou non par la directive, l’ANSSI a mis à disposition un simulateur en ligne permettant de le vérifier.

II. Une distinction entre entités essentielles (EE) et entités importantes (EE)

L’article 3 de la directive permet de distinguer deux types d’entités régulées en fonction de leur niveau de criticité. 

 

    • Les entités essentielles (EE) : les grandes entreprises au sens de la recommandation du 6 mai du 2003 (plus de 250 salariés et/ou plus de 50 millions de chiffre d’affaires) qui font partie des “secteurs hautement critiques” (définis ci-dessus) ainsi que les deux cas particuliers des infrastructures numériques et des administrations publiques. 

 

    • Les entités importantes (EI) : les moyennes entreprises au sens de la recommandation du 6 mai 2003 qui font partie des “secteurs hautement critiques” ainsi que les moyennes et grandes entreprises qui font partie des “autres secteurs critiques”. 

 

Cette distinction servira à l’ANSSI (Agence nationale de la sécurité des systèmes d’information) pour adapter et proportionner les exigences selon les enjeux de ces deux catégories. Cela jouera aussi un rôle pour la définition des sanctions qui seront différenciées entre les deux catégories. En effet, les sanctions pour les entités essentielles seront plus sévères et pourront monter jusqu’à 2% du chiffre d’affaires d’une entreprise contre 1,4% pour les entités importantes.  

III. Une hausse significative du nombre d'organisations concernées avec la nouvelle directive

Avec la directive c’est “un véritable changement en termes de volumétrie” qui s’opère. En effet, la précédente directive NIS ne concernait que 7 secteurs d’activités répartis entre opérateurs de services essentiels (OSE) et fournisseurs de services numériques (FSN ). Avec la nouvelle distinction entre entités essentielles et entités importantes c’est maintenant 18 secteurs d’activités qui seront touchés.

 

En France, il y aurait environ 600 types d’entités selon les estimations de Yves Herhoeven, Sous-Directeur Stratégie de l’ANSSI. Cela pourrait représenter 10.000 entités différentes au total en France. 

 

Environ 600 types d’entités différentes seront concernés, parmi eux des administrations de toutes tailles et des entreprises allant des PME aux groupes du CAC40.

note Yves Verhoeven 

Sous-Directeur Stratégie de l’ANSSI. 

 

Avec cette ampleur considérable, beaucoup d’organisations vont devoir se préparer à l’entrée en vigueur de la directive sur leur territoire national. Le texte, déjà transposé dans plusieurs pays (Croatie, Belgique et Hongrie), devra l’être dans tous ceux de l’Union Européenne d’ici octobre 2024. Même si la loi permettra a priori en France un temps de mise en conformité, les entreprises européennes doivent désormais anticiper et se préparer à la mise en œuvre de ce texte pour éviter les sanctions conséquentes qui y sont prévues.  

Synthèse

Des critères précis

Il faut répondre à 3 critères pour que la directive NIS 2 s’applique à une entité : exercer dans l’UE, être une moyenne entreprise (sauf exceptions), fournir un service considéré comme critique selon la liste officielle de la directive. 

2 types d'entités différentes

Toutes les entités concernées par NIS 2 sont réparties entre entités essentielles et entités importantes : une distinction qui conduira à des exigences et des sanctions différenciées. 

Ampleur considérable

NIS 2 va conduire à une augmentation drastique du nombre d’entreprises concernées par rapport à NIS allant jusqu’à 10.000 entités en France 

Directive (UE) 2022/2555 du Parlement européen et du Conseil… (europa.eu) 

De NIS à NIS 2 – Phinasoft

Banque de données Justel (fgov.be) 

EUR-Lex – 32003H0361 – EN – EUR-Lex (europa.eu) 

Enjeux et points clés de la directive NIS2 | Grant Thornton 

Tout savoir sur les changements de la nouvelle directive NIS 2 (orangecyberdefense.com) 

La directive NIS | ANSSI (cyber.gouv.fr) 

MonEspaceNIS2 – Suis-je concerné ? – Pour bien débuter (cyber.gouv.fr)

Directive NIS 2 : ce qui va changer pour les entreprises et l’administration françaises | ANSSI (cyber.gouv.fr) 

MonEspaceNIS2 – Accueil (cyber.gouv.fr) 

 

Contact

contact@phinasoft.com
+33 6 38 37 19 49

Suivez nos actualités
sur les réseaux

Linkedin Twitter

Autres

Menu
logo-phinasoft

Crédit : Freepik

Copyright © 2024 Phinasoft | Réalisé par Phinasoft