C'est une question que nos clients nous posent souvent. La formulation de la Directive NIS2 n'est pas toujours très explicite. NIS2 est un cadre que les pays doivent mettre en œuvre. Étant une Directive et non un Règlement, chaque pays de l'UE a l'autonomie de la déployer selon sa propre interprétation.
La formulation de la NIS2 est large, ce qui la rend difficile à appréhender, surtout tant que les pays n'ont pas publié leurs spécificités. Cependant, nous répondrons aussi clairement que possible aux questions concernant les entreprises actuellement concernées par la NIS2.
L'auto-évaluation rapide NIS2 d'Aikido pour vérifier si vous êtes concerné
Nous aimons les choses pratiques et simples. Alors, pour vous faciliter la tâche, voici notre auto-évaluation rapide en 5 étapes pour vérifier si vous êtes concerné par la directive NIS2 :
- Votre entreprise opère-t-elle dans une industrie « essentielle » ou « importante » ?
- Vérifier si vous faites partie d'une sous-industrie.
- Respectez-vous les exigences de taille ?
- Si la réponse est "non" aux points 1, 2 et 3, vérifiez bien que vous n'êtes pas une exception (conseil de pro : vous pourriez avoir besoin de consulter un conseiller juridique pour être sûr).
- Et, si la réponse est « non » à tout ce qui précède, vérifiez si vos clients sont ou non concernés.
À qui s'applique la NIS2 ?
Il y a deux paramètres clés à vérifier pour savoir si NIS2 a un impact sur votre entreprise :
- Secteur : Si vous faites partie d'un secteur d'activité « essentiel » ou « important ».
- Taille : Si la taille de votre entreprise atteint certains seuils « essentiels » ou « importants », c'est-à-dire au-delà de X employés, X € de chiffre d'affaires ou X € de bilan.
Examinons les deux plus en détail.
À quels secteurs la directive NIS2 s'applique-t-elle ?
Tout commence ici. La NIS2 vise à sécuriser les industries essentielles et importantes. La NIS2 élargit le nombre d'industries qui étaient au centre de la première directive NIS. Elle fait la distinction entre les secteurs essentiels et importants, mais les deux catégories sont incluses dans son champ d'application.
Secteurs essentiels : énergie, eau potable, eaux usées, transports, banque, marchés financiers, gestion des services TIC, administration publique, santé et espace.
Secteurs importants : services postaux et de messagerie, gestion des déchets, produits chimiques, alimentation, fabrication (par exemple, dispositifs médicaux, ordinateurs/électronique, machines/équipements, véhicules à moteur, remorques/semi-remorques/autres équipements de transport), fournisseurs numériques (par exemple, places de marché en ligne) et organismes de recherche.
Certains secteurs sont instantanément concernés, quoi qu'il arrive. Quelques exemples incluent les bureaux d'enregistrement de noms de domaine, les prestataires de services de confiance, les fournisseurs de services DNS, les registres de noms de domaine de premier niveau (TLD) et les fournisseurs de télécommunications.
En outre, les autorités nationales auront le pouvoir de désigner des entreprises individuelles qui ne rentrent pas clairement dans les catégories de secteurs essentiels ou importants. Elles peuvent le faire si elles estiment que l'entreprise fournit un service unique, a un impact significatif et/ou est essentielle à la société.
Critères de taille d'entreprise NIS2
La NIS2 comporte des règles de seuil de taille. Cela signifie que vous devrez vous conformer à la Directive si vous dépassez certains seuils.
Quelles sont les entreprises essentielles et importantes selon les critères de taille ?
- Entreprises essentielles : plus de 250 employés OU plus de 50 millions d'euros de chiffre d'affaires annuel OU plus de 43 millions d'euros de bilan
Remarque : Une entreprise essentielle qui ne respecte pas les seuils de taille essentiels (ci-dessus) mais qui respecte les seuils de taille des entreprises importantes (ci-dessous) est considérée comme une entreprise importante. Et, par conséquent, reste dans le champ d'application. - Entreprises importantes : Plus de 50 employés OU plus de 10 millions d'euros de chiffre d'affaires annuel OU plus de 10 millions d'euros de bilan.
Ainsi, à première vue, NIS2 s'applique aux entreprises de taille moyenne et aux grandes entreprises, et exclut les petites et micro-entreprises. Cependant, il y aura des exceptions. Par exemple, si une entreprise ne respecte pas les seuils de taille, une autorité nationale peut exercer son pouvoir de désignation, comme c'est le cas pour les critères sectoriels.
Comment savoir quel pays a juridiction sur mon entreprise ?
La Commission européenne déclare : « En règle générale, les entités essentielles et importantes sont considérées comme relevant de la juridiction de l'État membre où elles sont établies. Si l'entité est établie dans plus d'un État membre, elle devrait relever de la juridiction de chacun de ces États membres. »
Il existe des exceptions. Dans certains cas, cela signifie prendre en compte l'endroit où l'entreprise fournit le service (par exemple, les fournisseurs de services DNS). Dans d'autres cas, l'élément clé est l'emplacement de leur établissement principal (par exemple, les fournisseurs de services de cloud computing).
Existe-t-il d'autres exceptions aux règles ?
Bien sûr, il y en a certaines liées aux règles de l'industrie et de la taille. De plus, à mesure que les pays mettront en œuvre la directive, il y aura des différences d'un pays à l'autre auxquelles il faudra prêter attention à mesure que les règles localisées entreront en vigueur (toutes d'ici le 17 octobre 2024).
Par exemple, si vous ne remplissez pas les critères de taille MAIS êtes le seul fournisseur d'un service critique pour l'activité sociétale ou économique dans un État membre, vous pourriez quand même devoir mettre en œuvre NIS2.
Note : Si vous êtes actif dans le secteur financier, vous êtes probablement déjà familiarisé avec le Digital Operational Resilience Act (DORA). DORA est un acte législatif – et non une directive comme NIS2 – il prime donc sur NIS2. Nous vous recommandons de concentrer vos efforts là-dessus en premier lieu, mais assurez-vous de vérifier quand NIS2 sera transposé en droit local par votre État membre de l'UE.
N'oubliez pas non plus le Cyber Resilience Act (CRA). Le CRA établit des exigences de cybersécurité pour une gamme de produits matériels et logiciels mis sur le marché de l'UE. Cela inclut les enceintes intelligentes, les jeux, les systèmes d'exploitation, etc.
Vous souhaitez plus de détails ?
Voici un excellent aperçu des entités concernées, élaboré par le Centre pour la Cybersécurité Belgique :
Si vos clients sont dans le champ d'application, la NIS2 vous impactera probablement.
Saviez-vous que la directive NIS2 inclut l'effet d'entraînement des tiers ? Cela signifie que même si vous n'êtes pas directement concerné(e) mais que vos clients le sont, vous devrez probablement vous conformer à la NIS2.
Les entreprises qui doivent mettre en œuvre NIS2 devront « gérer et évaluer les risques » associés à leurs « fournisseurs tiers ». Cela inclut, par exemple, la réalisation d'évaluations de sécurité régulières, la garantie que vous disposez de mesures de cybersécurité adéquates, et la mise en œuvre de contrats/accords qui vous obligent à vous conformer aux exigences de NIS2.
Alors, si vous êtes une entreprise B2B et que vous pensiez être hors du champ d'application en raison de votre secteur et de votre taille, mais que vos clients sont concernés par NIS2, vous devriez commencer à vous préparer !
Aikido fournit un rapport NIS2
Aikido Security a créé une fonctionnalité de rapport NIS2 disponible dans notre application. Nous avons conçu ce rapport pour aider les entreprises qui doivent se conformer à la directive.
Êtes-vous susceptible d'être concerné par la NIS2?
Découvrez où vous en êtes avec votre application concernant la NIS2.
Bien que notre rapport ne soit pas exhaustif (et ne couvre que votre configuration technique), il vous mettra sur la bonne voie.
Inscrivez-vous à Aikido et obtenez votre rapport NIS2 gratuitement !
Sécurisez votre logiciel dès maintenant.
.jpg)
