Interview de Nicolas BIENVENUE :
4 questions sur NIS 2
Aujourd’hui nous interviewons Nicolas BIENVENUE, Responsable Commercial « Formation Continue » d’EduGroupe, et animateur de notre prochain Webinaire « Comprendre et se préparer aux exigences réglementaires (DORA et NIS 2) liées aux notifications ».
Nicolas, qu’est-ce que NIS 2 ?
Nicolas BIENVENUE (N.B.) : La directive NIS 2 s’appuie sur les acquis de la directive NIS 1. Elle marque un changement de paradigme, tant à l’échelon national qu’à l’échelon européen.
Revenons rapidement sur NIS 1 :
- NIS pour Network ans Information system Security
- C’est une directive adoptée au niveau européen en 2016 dont l’objectif était de définir des modalités communes pour les entités ayant un impact conséquent sur le marché intérieur de l’Europe en cas de défaillance.
- Chaque état membre a ainsi transposé ces modalités communes en une stratégie nationale et désigné une autorité nationale de compétence (ANSSI pour la France).
La Commission européenne a décidé d’étendre le périmètre et les ambitions de la directive, ce qui a donné naissance à NIS 2. Les principaux changements apportés par NIS sont issus :
- Des retours d’informations et enseignements tirés de NIS 1 (approche proactive – notification des menaces et des incidents – rapports à plusieurs niveaux)
- Des renseignements sur les menaces et partage d’informations (alerte précoce, notification d’incident, rapport intermédiaire, rapport final, rapport d’avancement)
La directive NIS 2 est ainsi composée de 144 considérants et de 46 articles complétés par 2 Annexes.
Est-ce que toutes les entreprises sont concernées par NIS 2 ?
N.B. : Non. NIS 1 avait défini que seules les entreprises désignées comme « Opérateurs de Services Essentiels (OSE) », soit environ 300 entités, étaient concernées.
NIS 2 élargit le champ d’applications et définit ainsi dans les Annexes 1 et 2 les secteurs hautement critiques (entités essentielles) et les secteurs critiques (entités importantes).
Qui sont les entités essentielles de NIS2 ?
N.B. : Les entités essentielles sont détaillées dans l’Annexe 1 de la Directive NIS 2 et sont donc les entreprises des secteurs suivants :
- Energie
- Transport
- Banque
- Infrastructure des marchés financiers
- Santé
- Eau potable
- Eaux usées
- Infrastructures numériques
- Gestion des Services TIC
- Administration publique
- Espace
Avec les règles de base suivantes :
- Nombre d’employés supérieur ou égal à 250
- Chiffre d’affaires supérieur ou égal à 50 millions d’euros
- Bilan annuel supérieur ou égal à 43 millions d’euros
En complément, qui sont les entités importantes ?
N.B. : Les entités importantes sont présentées en Annexe 2 :
- Services Postaux et d’expédition
- Gestion de déchets
- Fabrication, production, et distribution de produits chimiques
- Production, transformation et distribution des denrées alimentaires
- Fabrication
- Fournisseurs Numériques
- Recherche
Un grand merci à Nicolas Bienvenue pour ce témoignage !
N.B. : Avec plaisir. Si vous souhaitez aller plus loin sur ce sujet NIS 2 n’hésitez pas à vous inscrire à notre webinaire du mercredi 16 octobre à 10h15. Vous y découvrirez les clés sur les exigences de notifications imposées par NIS 2 et DORA. Je serai présent pour répondre à toutes vos questions !