NIS2
NIS2 est la directive européenne de cybersécurité qui étend à 18 secteurs des obligations de gestion des risques, de notification d’incidents et de sécurité des fournisseurs.
NIS2, pour Network and Information Security 2, est la directive européenne 2022/2555 qui rehausse le niveau d’exigence en cybersécurité sur tout le continent. Elle élargit considérablement le champ de la première directive NIS : 18 secteurs sont désormais couverts, de l’énergie à la santé en passant par le numérique, l’agroalimentaire ou la gestion des déchets, et les entités visées sont classées « essentielles » ou « importantes » selon leur taille et leur criticité. En France, des milliers d’organisations entrent dans le périmètre, PME comprises, sous le pilotage de l’ANSSI.
Sur le fond, la directive impose une gestion des risques documentée et proportionnée : mesures techniques et organisationnelles, sécurité de la chaîne d’approvisionnement, gestion des vulnérabilités et des incidents, avec une notification des incidents significatifs dans des délais serrés, premier signalement sous 24 heures. La responsabilité est portée par les organes de direction eux-mêmes, et les sanctions peuvent atteindre 10 millions d’euros ou 2 % du chiffre d’affaires mondial pour les entités essentielles.
Pour savoir si vous êtes concerné et par où commencer, notre page pilier NIS2 pose le cadre, notre guide NIS2 pour les PME traite le cas des structures moyennes, et l’article audit NIS2 détaille la préparation à l’évaluation. La connaissance de sa surface d’attaque externe, exigence implicite du texte, est précisément ce qu’apporte l’EASM.