Devenez NIS 2 compatible est le thème du petit-déjeuner débat qu’animeront en visioconférence Eric Le Quellenec et Anthony Sitbon le mercredi 9 février 2022 entre 9h et 11h.
Une nouvelle étape vient d’être franchie concernant la révision de la directive « Network and Information System Security » (NIS) sur la gestion de la cybersécurité au niveau européen.
En effet, le 3 décembre 2021, les ministres européens du numérique sont parvenus à un compromis sur le projet révisé « NIS 2 » ou « SRI 2 » (Sécurité des réseaux et des systèmes d’information). Plus précisément, le texte comporte deux objectifs :
- harmoniser les exigences de cybersécurité entre les Etats membres :
- définir des mécanismes de coopération pour mieux gérer les risques cyber
En d’autres termes, le texte vise à fixer un socle minimal de garanties pour se protéger d’une cyberattaque. Il s’agit d’un enjeu majeur face à la multiplication des cyberattaques visant tant le secteur public que le secteur privé. Sa transcription en droit français interviendra dans les deux ans à compter de l’adoption de la directive.
La directive NIS 2 concerne toutes les grandes infrastructures
La directive NIS 2 étend notamment le périmètre des secteurs concernés par des obligations de cybersécurité. Jusqu’à présent, la liste des « opérateurs de services essentiels » était laissée à la discrétion des Etats membres. Ce sera désormais la directive qui fixera les critères.
Aux domaines d’ores et déjà concernés (banques, marchés financiers, énergie, transport, santé, eau potable et réseaux télécoms) vont s’ajouter de nouveaux secteurs tels que les fournisseurs d’accès à internet et les datacenters.
Les obligations seront cependant modulées par secteur avec un « plafond » pour n’impacter que les « grandes et moyennes » structures. Parmi les nouvelles obligations :
- le respect de normes sur la gestion des risques
- la possibilité de contrôles et de sanctions
- des obligations déclaratives sur les incidents de sécurité.
Quels critères la directive retiendra-t-elle ?
De la même façon, l’entrée des administrations publiques a donné lieu à d’intenses discussions pour déterminer les critères de sélection de ces dernières, en particulier :
- Type de collectivité et population concernés ?
- Compétences exercées ?
Il semble cependant acquis que les principales métropoles, départements et/ou régions, seront intégrées tout comme les syndicats informatiques et autres structures de mutualisation exerçant des compétences sensibles (hébergement, archivage, services informatiques, etc.).
Anticipez les futures évolutions réglementaires avec Eric Le Quellenec, directeur du département Informatique conseil, Lexing Avocats et Anthony Sitbon, directeur du département Sécurité, Lexing Technologies.
Conférence reportée