Linkedin X-twitter Podcast Envelope Phone-alt
AGENDHACK
AGORHACK

La directive NIS2 – Épisode 1

Cette série d'épisodes vient vous donner des clés pour préparer l’arrivée de la réglementation NIS2.
Cyberwings La directive NIS2

Propos liminaires

Cette série vient vous donner des clés pour préparer l’arrivée de la réglementation NIS2. Les objectifs de cette série sont multiples et servent à la fois des intérêts opérationnels et stratégiques :

  1. Vous accompagner afin préparer vos clients à cette évolution réglementaire majeure. Vous serez ainsi en tête de pont et assurerez au mieux votre rôle de conseil auprès de vos clients, grâce à cette capacité d’anticipation.

  2. Vous permettre d’accueillir la multitude de demandes à saisir, suite à l’introduction de NIS2 en droit français : préparer son offre et savoir se distinguer des nouveaux acteurs qui vont casser les prix ; récupérer une part de marché captive des « gros » faiseurs dans le domaine des services de cybersécurité.

  3. Connaître les exigences qui pèseront sur vos propres organisations, voire tenter d’influer sur leur définition afin d’éviter la disqualification et avoir une longueur d’avance sur vos compétiteurs.

 

Une analyse stratégique de NIS 2

Introduction

La directive NIS 2 a pour objectif premier d’augmenter le niveau de sécurité, mais surtout de résilience (cyber) de l’Union. L’objectif de ce premier épisode est de fournir un éclairage stratégique et géopolitique de cette norme. En effet, les changements imposés par NIS 2 sont majeurs et afin de pouvoir embarquer avec vous vos directions et collaborateurs, il va falloir expliciter la directive, convaincre de l’importance de s’en emparer sérieusement, rapidement et bien sûr d’en faire un élément à part entière de vos stratégies. Il est plus aisé d’appliquer une norme quand on comprend comment et par qui elle a été pensée et construite.

Qui est à l’origine de NIS 2 ?

C’est à l’été 2019 que l’ANSSI anticipe une révision ambitieuse de NIS 1 (directive votée en 2016), qui va se concrétiser en octobre 2022 sous l’appellation NIS 2. Il convient toutefois de préciser qu’une norme se s’écrit pas en l’espace d’un mois. En réalité, cette révision est impulsée par la France lorsqu’elle prend la tête du Conseil de l’Union européenne de janvier à juin 2022.
Le Conseil de l’UE a pour mission principale de fixer les grandes thématiques à travailler pour les 6 mois à venir. NIS étant voté en octobre, le travail de rédaction et le travail de fond ont été initiés sous la présidence française ce qui constitue une première forme d’influence. Mais plus concrètement, c’est le comité ITRE (Comité industrie, recherche et énergie) qui s’affaire à rédiger le texte. Quelques figures politiques françaises ont ainsi directement participé à la rédaction de NIS 2 comme : Marie Toussaint, Marina Mesure, Christophe Grudler, François-Xavier Dauchy ou encore Thierry Mariani.

La forme du texte : une directive qui s’impose à tous

Comme évoqué tout au long de ce travail, le texte final prend la forme d’une directive et ce choix n’est pas anodin. Par définition, une directive européenne ne donne que les grandes orientations et laisse ensuite la liberté aux États membres de choisir les modalités qu’ils souhaitent pour arriver à concrétiser les orientations de la directive. C’est à dire que même en vertu du principe de primauté, c’est-à-dire que le droit européen prime le droit français, la transposition en France va être très importante pour savoir concrètement ce que les organisations devront mettre en œuvre pour être en conformité avec NIS 2.
Cependant, il faut garder à l’esprit que même si le texte n’est pas transposé avant la date butoir donnée par l’UE à savoir octobre 2024, le texte produit tout de même un effet direct sur les organisations. On parler de « l’effet direct ». C’est-à-dire que même sans détails organisationnels, une entreprise pourra être condamnée par l’UE si on estime qu’elle ne respecte pas les prérogatives du texte.

Le périmètre d’application de NIS 2

Pour savoir si l’on rentre dans le spectre de NIS 2 il convient de croiser plusieurs variables :

  1. Les secteurs concernés par NIS 2 ? La directive donne une liste des secteurs stratégiques qui doivent prendre en main leur sécurité. On retrouve entre autres :

  • Énergie

  • Transport

  • Banques

  • Marchés financiers

  • Santé

  • Eaux potables

  • Infrastructures

  • numériques

  • Fournisseurs numériques

  • Eaux usées

  • Gestion des services des technologies de l’information et de la communication

  • Administrations publiques

  • Espace

  • Services postaux et de messagerie

  • Gestion des déchets

  • Fabrication et production de produits chimiques

  • Industrie (fabrication)

  • Recherche

  1. Le second critère se définit lui sur le type d’organisation :

  • Les Entités Essentielles qui concernent elles les Grandes entreprises

  • Les Entités Importantes : Moyennes ET Grandes entreprises

  1. Enfin, le dernier critère est celui de la taille de l’organisation. Comment savoir si nous sommes une moyenne ou une grande entreprise ?

  • Les grandes entreprises : plus de 250 employés OU un chiffre d’affaires supérieur à 50 millions d’euros

  • Les moyennes entreprises : plus de 50 employés OU un chiffre d’affaires supérieur à 10 millions d’euros

Dans le prochain épisode

Décryptage de projet de loi NIS 2 par nos équipes. Lecture croisée technique et stratégique.

Partager

Articles récents

Cyberwings Academy
Certifié Qualiopi

— Nous contacter

Financer votre formation
Mentions légales
Politique de confidentialité
RSE
CGV

Tous droits réservés 2024 © Cyberwings Academy

— Conception Agence HULKETTE