La directive NIS2, adoptée au niveau européen, vise à renforcer la cybersécurité des infrastructures critiques et des services essentiels. Transposée en droit français, elle élargit considérablement le nombre d'entreprises concernées par rapport à la précédente directive NIS. Selon l'Agence nationale de la sécurité des systèmes d'information (ANSSI), environ 15 000 entités en France devront se conformer à ces nouvelles obligations, contre quelques centaines auparavant.
Critères de taille et secteurs concernés
La directive distingue deux catégories : les entités essentielles et les entités importantes. Les entités essentielles sont celles des secteurs à haute criticité (énergie, transports, banque, santé, eau, infrastructures numériques, etc.) employant plus de 250 personnes ou réalisant un chiffre d'affaires supérieur à 50 millions d'euros. Les entités importantes, quant à elles, opèrent dans des secteurs comme la fabrication de produits chimiques, la gestion des déchets ou la production alimentaire, avec un seuil de 50 salariés et un chiffre d'affaires de 10 millions d'euros.
Obligations renforcées
Les entreprises concernées devront mettre en place des mesures techniques et organisationnelles pour gérer les risques cyber, signaler les incidents graves à l'ANSSI dans un délai de 24 heures, et se soumettre à des audits réguliers. Les sanctions en cas de non-conformité peuvent atteindre 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial pour les entités essentielles.
Calendrier de mise en œuvre
La transposition en France doit être effective au 17 octobre 2024. Les entreprises ont jusqu'à cette date pour se mettre en conformité. L'ANSSI a publié un guide pratique pour aider les entités à identifier leurs obligations et à planifier les actions nécessaires.
