Article – Entrée en vigueur de NIS 2 : Qui sera concerné ? 

À partir du 17 octobre 2024¹, vous pourriez être concerné par la mise en œuvre des prescriptions de l’ANSSI en matière de cybersécurité dans le cadre de NIS 2 (Network and Information System and Services). Environ 20 000 organisations françaises devront s’y conformer, contre 300 dans le cadre de NIS 1. 

Indépendamment des critères liés aux secteurs d’activité qui seront désignés ou à votre taille, vous pourriez aussi être concerné en fonction d’autres champs de définitions et de votre appartenance à une chaîne de sous-traitance. 

Si vous fournissez un service essentiel dans une chaîne de sous-traitance, vous serez nouvellement contraint à la nécessité d’augmenter votre niveau de cybersécurité, et cela, quelle que soit votre taille. 

Le périmètre de NIS 2 pourra également vous être applicable si vous êtes une entreprise de taille moyenne ou intermédiaire qui fait partie d’une chaîne d’approvisionnement pour des entreprises recatégorisées en Entreprise Essentielle (EE) ou Entreprise Intermédiaire (EI). 

Un cadre juridique pour assurer la résilience des infrastructures critiques de l’Union Européenne 

Actuellement, seules les entreprises identifiées OSE (Opérateur de Services Essentielles), OIV (Opérateurs d’Importance Vitale) et FSN (Fournisseurs de Services Numériques) sont concernées.  

Pour les entreprises qui étaient déjà soumises à NIS 1, NIS 2 est une prolongation qui se matérialise à la fois par un renforcement des pratiques de cyber sécurité et une manière de mieux sécuriser leur chaîne de sous-traitants (« chaîne d’approvisionnement *»). Ainsi, les Entreprises Essentielles (EE) et les Entreprises Importantes (EI) devront contrôler les critères de NIS2 sur tout leurs écosystèmes (fourniture, production, distribution, …). A noter toutefois que les acteurs du numérique² ne seront pas soumis au référentiel national NIS 2 mais à des dispositions particulières de la directive (article 21-5), à travers l’acte d’exécution de la Commission Européenne qui établira des exigences techniques et méthodologiques. 

Le cadre juridique NIS (Network and Information Security) vise à assurer la résilience des infrastructures critiques de l’Union Européenne, d’élever le niveau commun de sécurité. Les entités identifiées sont tenues de mettre en œuvre les exigences de sécurité définies, sur leurs réseaux et systèmes d’information, sous peine de sanction. 

NIS 2 : un élargissement des objectifs et du périmètre d’application pour une cyberdéfense de masse 

L’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information), estime qu’à partir du 17 octobre 2024 plus de 100 000 « entités » de l’Union Européenne, c’est-à-dire entreprises et organisations publiques, seront concernées par le renforcement des exigences de la directive NIS 2, contre 15 000 aujourd’hui (NIS1). 

Cette extension du périmètre des organisations régulées est une réponse de cybersécurité de masse face à la fois à l’augmentation importante des menaces – et notamment sur de nouvelles cibles (PME, ETI, Collectivités locales) – ainsi qu’à une nécessité d’une prise en compte massive des enjeux de cyber sécurité (bonnes pratiques des salariés, protection des accès, du matériel, règles de sécurité, etc.). 

Comment savoir si votre organisation est concernée par NIS 2 ? 

C’est fin octobre 2024 que les États Membres de l’UE devront transposer NIS 2. 

18 secteurs d’activités et 35 sous-secteurs et potentiellement « leur chaîne d’approvisionnement » seront concernés par la directive NIS2.³ 

Les activités telles que les transports, la santé, le postal, l’énergie, les services numériques aux citoyens, l’eau, les services bancaires et financiers, les collectivités locales, etc. devront mettre en œuvre les exigences de l’ANSSI. 

L’ANSSI³ distinguera 2 typologies d’entité (essentielles ou importantes) avec des obligations de sécurité proportionnelles à la criticité de l’activité. 

Les 3 critères « d’intégration » seront relatifs aux secteurs (code NAF) décrits dans les annexes (secteurs hautement critiques en annexe 1 et secteurs critiques en annexe 2) et aussi à la taille de l’entreprise notamment en termes de Chiffre d’Affaires (supérieur à 50 millions d’euros), de bilan comptable (supérieur à 43 millions), d’effectif (supérieur à 250 salariés). 

Si vous répondez à ces principaux critères alors vous serez forcément concernés. 

Toutefois si vous fournissez un service essentiel dans une chaîne de sous-traitance vous serez concernés, quelle que soit la taille de votre entreprise. Des entreprises de taille moyenne ou intermédiaire entreront dans le champ d’application si elles font partie d’une chaîne d’approvisionnement pour des entreprises concernées. 

Ainsi, en fonction de ces éléments et de certaines « définitions ad hoc » présentes dans les annexes des consultations, il pourrait être nécessaire de clarifier votre situation. 

Dans les deux cas, c’est à vous qu’il reviendra de vous faire connaître auprès de l’ANSSI.