ThinkTank_Logo_black
L'attente est terminée
Ailance™ ThinkTank est là !

Directive NIS 2 : ces entreprises sont concernées

Avec l'introduction de la directive NIS 2, beaucoup plus d'entreprises doivent prendre des mesures supplémentaires.
Catégories :

Le compte à rebours a commencé ! Les entreprises doivent bientôt s'attendre à l'entrée en vigueur de la directive NIS 2. Au plus tard le 18 octobre 2024, les directives de l'UE devraient être mises en œuvre par le biais de lois nationales dans les États membres. Il est d'ores et déjà certain que les obligations de mise en œuvre de mesures de cybersécurité et de notification des cyberattaques seront étendues à un nombre nettement plus important d'entreprises dans différents secteurs.

Près de 30.000 entreprises doivent prendre des mesures supplémentaires

Rien qu'en Allemagne, le ministère fédéral de l'Intérieur, en charge du dossier, estime qu'environ 29 500 entreprises supplémentaires seront tenues de mettre en œuvre des mesures de cybersécurité. Jusqu'à présent, les mesures étaient limitées aux opérateurs d'infrastructures critiques, aux fournisseurs de services numériques et aux entreprises d'intérêt public particulier.

La raison de cette extension significative est l'introduction des catégories "entités importantes" (important entities) et "entités particulièrement importantes" (essential entities) dans la loi de mise en œuvre de la NIS 2 et de renforcement de la cybersécurité (NIS2UmsuCG). La loi n'a toutefois pas encore été promulguée.

Pour les entreprises du secteur économique, il s'agit d'une transposition 1:1 de la directive NIS-2. Cela signifie que la NIS2UmsuCG ne va pas au-delà des exigences du droit européen.

Selon l'Office fédéral de la sécurité, le test d'implication NIS-2 est l'outil central permettant de vérifier si une entreprise est susceptible d'être concernée par la mise en œuvre nationale de la directive NIS-2 en Allemagne.

Établissements particulièrement importants et établissements importants

Un coup d'œil sur le projet de loi permet déjà de voir quelles entreprises seront réglementées par NIS-2. L'identification des entreprises concernées en tant qu'"entités particulièrement importantes" ou "entités importantes" se fera probablement sur la base de chiffres clés et de seuils se rapportant au chiffre d'affaires annuel ou au nombre d'employés. 

Selon l'article 28, paragraphe 1, de la NIS2UmsuCG, sont considérés comme des établissements particulièrement importants :

  1. les exploitants d'installations critiques,
  2. les prestataires de services de confiance qualifiés, les registres de noms de domaine de premier niveau ou les prestataires de services DNS,
  3. les fournisseurs de services de télécommunications accessibles au public ou les opérateurs de réseaux publics de télécommunications qui emploient au moins 50 personnes ou dont le chiffre d'affaires annuel et le total du bilan annuel dépassent chacun 10 millions d'euros,
  4. toute autre personne physique ou morale ou entité juridiquement dépendante d'une collectivité territoriale qui offre à titre onéreux des biens ou des services à d'autres personnes physiques ou morales, qui relève de l'un des types d'établissement définis à l'annexe 1 et qui emploie au moins 250 personnes ou dont le chiffre d'affaires annuel dépasse 50 millions d'euros et dont le total du bilan annuel dépasse 43 millions d'euros.

Selon l'article 28, paragraphe 2, de la NIS2UmsuCG, sont considérées comme des installations importantes

  1. Fournisseurs de services de confiance,
  2. les fournisseurs de services de télécommunications accessibles au public ou les exploitants de réseaux publics de télécommunications qui emploient moins de 50 personnes et dont le chiffre d'affaires annuel et le total du bilan annuel sont chacun inférieurs ou égaux à 10 millions d'euros,
  3. les personnes physiques ou morales ou les unités organisationnelles juridiquement dépendantes d'une collectivité territoriale qui offrent à titre onéreux des biens ou des services à d'autres personnes physiques ou morales, qui relèvent de l'un des types d'établissements définis dans les annexes 1 et 2 et qui emploient au moins 50 personnes ou dont le chiffre d'affaires annuel et le total du bilan annuel dépassent chacun 10 millions d'euros.

 

Conseil de lecture : Le règlement sur les bannières de cookies a été adopté : Ce qui est nouveau !

Classement des entreprises selon certains types d'établissements

§ L'article 28, paragraphe 1, point 4, et l'article 28, paragraphe 2, point 3, de la NIS2UmsuCG font en outre référence à l'affectation à certains types d'établissements.

Parmi les établissements particulièrement importants ("essential"), on trouve les entreprises ayant une importance essentielle pour la collectivité. Leur défaillance aurait de graves conséquences. La NIS-2 cite concrètement onze domaines :

  1. Énergie (électricité, chauffage urbain, pétrole, gaz naturel, hydrogène)
  2. Transports (aériens, ferroviaires, maritimes, routiers)
  3. Secteur bancaire
  4. Marchés financiers
  5. Santé (y compris les prestataires de soins de santé, la recherche médicale, les produits pharmaceutiques, les appareils médicaux)
  6. Eau potable (approvisionnement en eau)
  7. Eaux usées (évacuation des eaux usées)
  8. Administrations publiques
  9. Infrastructure numérique (nœuds Internet, fournisseurs de cloud, centres de données, communication électronique)
  10. Gestion des services TIC (B2B) (Fournisseurs de services gérés, Fournisseurs de services de sécurité gérés)
  11. Espace

 

Les sept secteurs suivants sont considérés comme des établissements importants ("important") :

  1. Services postaux et de courrier
  2. Déchets
  3. Alimentation
  4. Produits chimiques
  5. Services numériques (moteurs de recherche, places de marché en ligne, services en nuage, réseaux sociaux),
  6. Industrie (entre autres construction mécanique, construction automobile, appareils de traitement de données)
  7. Recherche

Si la taille de l'entreprise et le type d'établissement coïncident, la directive NIS-2 s'applique. Si une entreprise exerce une activité critique et risque d'avoir des répercussions sur l'ordre public en cas de défaillance de cette activité, elle peut également être soumise à la NIS-2 si la taille de l'entreprise n'a pas été atteinte.

Obligation de déclaration pour les entreprises réglementées par le NIS-2

L'objectif de la directive NIS-2 est d'introduire des mesures contraignantes pour l'administration et l'économie afin de garantir un niveau commun élevé de cybersécurité dans toute l'Union européenne. Les institutions importantes et particulièrement importantes doivent être protégées contre les dommages causés par les cyberattaques et le fonctionnement du marché intérieur européen doit être amélioré. Comme le montre la liste ci-dessus, le projet s'accompagne d'une extension significative de son champ d'application.

Pour certaines des entreprises concernées, il faut s'attendre à une obligation de prouver la sécurité informatique. Les entreprises réglementées par la NIS 2 seront également tenues de signaler les incidents de sécurité informatique à l'Office fédéral de la sécurité. 

Source : Projet de loi de mise en œuvre de la NIS 2 et de renforcement de la cybersécurité

Les tags :
Partager ce post :
fr_FRFrench