Une chose est sûr, que votre organisation soit ou non éligible à la directive NIS 2, il faudra qu’elle soit protégée en terme de cybersécurité. Toutefois, être éligible signifie que vous encourez en plus des conséquences lourdes des attaques informatiques, des sanctions administratives comparables à celles du RGPD.
La question se pose donc …
Devez vous mettre en place les mesures de protection imposées par de la directive NIS 2 ?
La transposition nationale de la directive n’étant pas encore mise en place, il reste encore des zones d’ombre pour ce que la directive appelle des entités importantes sur le nombre et le type de structures devant respecter la directive NIS 2. Mais nous avons déjà des informations qui permettent de répondre pour un grand nombre de cas :
La directive NIS 2 s’applique aux entités essentielles (organisations, grandes et intermédiaires) :
– ce sont celles qui font parties des onze secteurs d’activités hautement critiques cités dans l’annexe 1 de la directive : l’énergie, le transport, le secteur bancaire, les infrastructures des marchés financiers, la santé, l’eau potable, les eaux usées, l’infrastructure numérique, la gestion des services TIC, l’administration publique, l’espace.
– ce sont celles qui répondent à au moins un des critères suivants : ≥ 250 salariés, ou CA ≥ à 50 millions d’euros, ou bilan annuel ≥ à 43 millions d’euros.
La directive NIS 2 s’applique aux entités importantes (organisations, moyennes, non considérées comme essentielles) :
– ce sont celles qui font partie des annexes 1 et 2 de la directive : en plus des activités hautement critiques on trouve les activités critiques comme les secteurs postaux et d’expédition, la gestion des déchets, la fabrication, la production et la distribution de produits chimiques.
– ce sont celles qui répondent à au moins un des critères suivants : ≥ 50 salariés, ou CA ≥ à 10 millions d’euros.
Si vous êtes dans une organisation dont le secteur critique est cité et que votre organisation atteint les critères d’éligibilité, la situation est simple : vous êtes concerné. Si tel n’est pas le cas, vous devrez vous interrogez à l’aune des risques encourus, des bénéfices attendus et anticiper en attendant la transposition de la loi nationale.
Prenons quelques exemples
Une mairie de plus de 15 000 habitants sera t-elle impactée ? On ne connait pas encore le critère déterminant pour identifier quelle collectivité sera éligible, mais lors du webinar sur la directive NIS 2, l’ANSSI a fait comprendre que le but était de protéger les entités particulièrement exposées aux attaques, et a cité les hôpitaux et les mairies. Toutes les mairies de plus de 15 000 habitants, voire de 10 000, devraient s’intéresser à la directive NIS 2. On voit mal comment certains territoires peu peuplés, pour qui une collectivité de cet ordre est considérée comme significative, ne seraient pas protégés par la loi.
Un syndicat de l’eau qui a confié la gestion des services d’eau et d’assainissement à un délégataire est-il soumis à la directive NIS 2 ? Non si il ne gère ni les abonnés, ni si les services de suivi qui mobilisent au moins 50 salariés. Toutefois si le syndicat est juridiquement rattaché à l’intercommunalité, c’est l’intercommunalité qui est soumise à la directive. Si le syndicat est organisé en régie, il se trouve directement soumis à la directive.
Un éditeur de logiciels dédiés à l’accompagnement logistique est-il assujetti à la directive au même titre que ses clients majeurs ? Effectivement, en tant que prestataire de services TIC générant un chiffre d’affaires supérieur à 10 millions d’euros, il est concerné. Il est à noter que, dans tous les cas, cet éditeur sera tenu de rendre des comptes en matière de cybersécurité, étant donné que ses clients devront exiger, à partir du 18 octobre 2024, des garanties de protection afin de se conformer aux nouvelles règles NIS 2 en matière de relation fournisseur/prestataire.
Des questions ? N’hésitez pas à nous contacter