Académique Documents
Professionnel Documents
Culture Documents
Près de 160 000 entités seraient ainsi concernées en Europe selon les
estimations du Parlement. A quelles obligations devront-elles se conformer ?
Les exigences en matière de cybersécurité sont renforcées par NIS 2. Les acteurs
concernés doivent justifier de la mise en place de mesures techniques et
opérationnelles visant à assurer la sécurité de leurs réseaux informatiques. Il faut, par
exemple, attester que les pares-feux et autres logiciels de sécurité sont acquis puis mis
à jour régulièrement. De plus en plus de grands groupes publient ainsi dans leur rapport
annuel le pourcentage du chiffre d’affaires investi dans la sécurité informatique. Ils
témoignent de leur engagement et adressent un message de confiance à leurs parties
prenantes.
Les directions des systèmes d’information sont également tenues de réaliser une
cartographie des risques en intégrant toute leur chaine contractuelle, autrement dit
leurs fournisseurs et sous-traitants. En cas de défaillance, c’est le donneur d’ordre ou
l’entreprise cliente qui sera tenu pour responsable et non le fournisseur. Il est donc
essentiel que ces éléments de sécurité soient intégrés dans le choix des prestataires.
La directive distingue deux types d’entités : les entités essentielles, et les entités
importantes. Les premières sont soumises à des obligations renforcées, comme la
communication d’un incident à l’Anssi. En cas de non-respect des règles, les sanctions
sont également plus fortes pour ces acteurs. L’amende peut s’élever à 10 millions
d'euros ou 2 % du chiffre d’affaires annuel mondial de l’entreprise. Pour les entités
importantes, elle peut monter à 7 millions d'euros ou 1,4 % du chiffre d'affaires.
L’inclusion de toutes les entités publiques constitue en effet l’un des principaux apports
de NIS 2. Certes, ces acteurs étaient déjà conscients des enjeux de cybersécurité mais
leurs obligations réglementaires en la matière étaient assez disparates. Le niveau de
maturité des infrastructures IT du secteur public est globalement inférieur à celui du
privé. Il est donc logique que le législateur souhaite relever le niveau d’exigence.