NIS2 : Qui est concerné ?

C'est une question que nous posent souvent nos clients. La formulation de la directive NIS2 n'est pas toujours très explicite. NIS2 est un cadre que les pays doivent mettre en œuvre. Comme il s'agit d'une directive et non d'un règlement, chaque pays de l'UE est libre de l'appliquer selon sa propre interprétation.

Le langage de NIS2 est large, ce qui le rend difficile à comprendre, en particulier jusqu'à ce que les pays publient leurs spécificités. Toutefois, nous répondrons aussi clairement que possible aux questions concernant les entreprises actuellement concernées par le NIS2.

Autocontrôle rapide du NIS2 par l'Aikidopour savoir si vous êtes dans le champ d'application de la directive

Nous aimons que les choses soient pratiques et directes. Aussi, pour vous faciliter la tâche, voici notre auto-vérification rapide en 5 étapes pour savoir si vous êtes dans le champ d'application du NIS2 :

1. Votre entreprise travaille-t-elle dans un secteur "essentiel" ou "important" ?
2. Vérifiez si vous faites partie d'un sous-secteur.
3. Êtes-vous dans les limites de la taille requise ?
4. Si vous avez répondu "non" aux questions 1, 2 et 3, vérifiez à nouveau que vous n'êtes pas une exception (conseil de pro : vous devrez peut-être demander l'avis d'un conseiller juridique pour plus de sûreté).
5. Et si vous avez répondu "non" à toutes les questions ci-dessus, vérifiez si vos clients sont ou non dans le champ d'application.

À qui s'adresse le NIS2 ?

Il y a deux paramètres clés à vérifier pour savoir si le NIS2 a un impact sur votre entreprise :

• Secteur d'activité : Si vous faites partie d'un secteur "essentiel" ou "important".
• Taille : Si la taille de votre entreprise répond à certains seuils "essentiels" ou "importants", c'est-à-dire plus de X employés, X euros de chiffre d'affaires ou X euros de bilan.

Examinons ces deux aspects plus en détail.

Quels sont les secteurs concernés par le NIS2 ?

Tout commence ici. Le NIS2 vise à sécuriser les industries essentielles et importantes. Le NIS2 élargit le nombre d'industries visées par la première directive NIS. Elle fait une distinction entre les industries essentielles et les industries importantes, mais les deux catégories sont incluses dans son champ d'application.

Industries essentielles : énergie, eau potable, eaux usées, transports, banques, marchés financiers, gestion des services TIC, administration publique, soins de santé et espace.

Principales industries : services postaux et de messagerie, gestion des déchets, produits chimiques, alimentation, fabrication (par exemple, dispositifs médicaux, informatique/électronique, machines/équipements, véhicules à moteur, remorques/semi-remorques/autres équipements de transport), fournisseurs numériques (par exemple, places de marché en ligne), et organismes de recherche.

Certains secteurs sont immédiatement concernés, quoi qu'il arrive. C'est le cas des bureaux d'enregistrement de noms de domaine, des fournisseurs de services de confiance, des fournisseurs de services DNS, des registres de noms TLD et des fournisseurs de services de télécommunications.

En outre, les autorités nationales auront le pouvoir de désigner des entreprises individuelles qui n'entrent pas directement dans les catégories des secteurs essentiels ou importants. Elles pourront le faire si elles estiment que l'entreprise fournit un service unique, qu'elle a un impact significatif et/ou qu'elle est essentielle pour la société.

Critères de taille des entreprises du NIS2

Le NIS2 prévoit des règles de plafonnement de la taille. Cela signifie que vous devrez vous conformer à la directive si vous franchissez certains seuils.

Quelles sont les entreprises essentielles et importantes pour les critères de taille ?

• Entreprises essentielles : 250+ employés OU 50 millions d'euros de chiffre d'affaires annuel OU 43 millions d'euros de bilan
  Note : Une entreprise essentielle qui ne remplit pas les seuils de taille essentiels (ci-dessus) mais qui remplit les seuils de taille des entreprises importantes (ci-dessous) est considérée comme une entreprise importante. Et donc toujours dans le champ d'application.
• Entreprises importantes : 50+ employés OU 10 millions d'euros de chiffre d'affaires annuel OU 10 millions d'euros de bilan.

Ainsi, à première vue, le NIS2 s'applique aux moyennes entreprises et aux grandes sociétés. Il ne s'applique pas aux petites et microentreprises. Mais il y aura des exceptions. Par exemple, si une entreprise n'atteint pas les seuils de taille, une autorité nationale peut exercer sa prérogative de désignation comme pour les critères sectoriels.

Comment savoir quel pays est compétent pour mon entreprise ?

La Commission européenne déclare : "En règle générale, les entités essentielles et importantes sont réputées relever de la juridiction de l'État membre dans lequel elles sont établies. Si l'entité est établie dans plus d'un État membre, elle doit relever de la juridiction de chacun de ces États membres.

Il y a des exceptions. Dans certains cas, il s'agit de considérer l'endroit où l'entreprise fournit le service (par exemple, les fournisseurs de services DNS). Dans d'autres cas, l'essentiel est de savoir où se trouve leur établissement principal (par exemple, les fournisseurs de services d'informatique en nuage).

Existe-t-il d'autres exceptions aux règles ?

Bien entendu, certaines sont liées aux règles relatives à l'industrie et à la taille. En outre, comme les pays mettent en œuvre la directive, il y aura des différences d'un pays à l'autre auxquelles il faudra prêter attention à mesure que les règles locales entreront en vigueur (toutes d'ici le 17 octobre 2024).

Par exemple, si vous ne répondez pas aux critères de taille, mais que vous êtes le seul fournisseur d'un service essentiel à l'activité sociétale ou économique d'un État membre, il se peut que vous deviez tout de même mettre en œuvre le NIS2.

Note : Si vous êtes actif dans le secteur financier, vous connaissez probablement déjà la loi sur la résilience opérationnelle numérique (Digital Operational Resilience Act - DORA). La loi DORA est un texte législatif - et non une directive comme la NIS2 - qui a donc la priorité sur la NIS2. Nous vous recommandons de concentrer vos efforts sur cette loi en premier lieu, mais n'oubliez pas de vous informer lorsque la NIS2 sera transposée en droit local par votre État membre de l'UE.

N'oubliez pas non plus la loi sur la cyber-résilience (CRA). L'ARC définit des exigences de cybersécurité pour une série de produits matériels et logiciels mis sur le marché de l'UE. Il s'agit notamment des haut-parleurs intelligents, des jeux, des systèmes d'exploitation, etc.

Vous cherchez un peu plus de détails ?

Voici une excellente vue d'ensemble des personnes concernées, élaborée par le Centre for Cyber Security Belgium :

Si vos clients sont concernés, le NIS2 aura probablement un impact sur vous.

Saviez-vous que la directive NIS2 inclut l'effet d'entraînement sur les tiers ? Cela signifie que même si vous n'êtes pas directement concerné, mais que vos clients le sont, vous devrez probablement vous conformer à la NIS2.

Les entreprises qui doivent mettre en œuvre le NIS2 devront "gérer et évaluer les risques" associés à leurs "fournisseurs tiers". Il s'agit, par exemple, de procéder à des évaluations régulières de la sécurité, de s'assurer que des mesures de cybersécurité adéquates sont en place et de mettre en œuvre des contrats/accords qui vous obligent à vous conformer aux exigences du NIS2.

Par conséquent, si vous êtes une entreprise B2B et que vous pensiez être hors du champ d'application en raison de votre secteur et de votre taille, mais que vos clients font partie du champ d'application de NIS2, vous devriez commencer à vous préparer !

L'Aikido fournit un rapport sur le NIS2

Aikido Security a créé un rapport NIS2 disponible dans notre application. Nous avons conçu ce rapport pour aider les entreprises qui doivent se conformer à la directive.

Êtes-vous susceptible d'être affecté par NIS2 ?
Découvrez où en est votre application sur NIS2.
Bien que notre rapport ne soit pas exhaustif (et ne couvre que votre configuration technique), il vous permettra de démarrer et d'être sur la bonne voie.

Inscrivez-vous à l'Aïkido et recevez gratuitementvotre rapport NIS2!