FAQ : Tout ce que vous devez savoir sur la NIS2 sans oser le demander
Qu'est-ce que NIS2 exactement ?
NIS2 (Network and Information Security), c’est la nouvelle directive européenne sur la cybersécurité. Son but : muscler les exigences de sécurité numérique pour un maximum d’entreprises et d’organisations, afin de mieux lutter contre les cyberattaques. NIS2 remplace la directive NIS1 de 2016 en visant bien plus large et plus fort.
Qui est concerné par NIS2 ?
Beaucoup de monde; et de plus en plus ! Là où NIS1 ne ciblait que les acteurs les plus critiques, NIS2 concerne potentiellement des milliers d’entreprises de toutes tailles et de tous secteurs : énergie, transports, banque, santé, informatique, agroalimentaire… Même certaines administrations figurent dans le lot. Si vous êtes une PME ou une ETI, il y a de grandes chances que vous soyez aussi concerné. Les micro-entreprises sont en revanche hors champ.
Quelles sont les principales obligations ?
NIS2 demande aux entreprises de renforcer sérieusement leur cybersécurité. Au programme : une solide analyse des risques, des mesures de protection des systèmes, un processus rodé de détection et réponse aux incidents, des audits réguliers… Sans oublier le signalement rapide des cyberattaques aux autorités. Mais pas de panique : les exigences seront adaptées à votre taille et votre profil de risque.
Concrètement, que faire si je suis concerné ?
Première chose : ne fuyez pas la réalité. Si vous relevez du champ d’application de NIS2, vous allez devoir vous retrousser les manches. L’idée n’est pas de vous noyer sous les exigences, mais de bâtir un plan d’action réaliste et progressif. Un bon réflexe est de consulter rapidement un tiers expert qui vous aidera à y voir plus clair sur votre situation et les actions prioritaires.
Est-ce que ça va me coûter cher ?
Difficile de donner un montant précis. Tout dépend de votre niveau de maturité cyber actuel et de la taille de votre infrastructure. Pour certains, quelques ajustements suffiront. Pour d’autres, le chantier sera plus conséquent. Dans tous les cas, la mise en conformité a un coût qu’il ne faut pas négliger. Ne perdez pas de vue qu’il s’agit avant tout d(un investissement pour votre sécurité et votre compétitivité à long terme.
Si j'ai déjà fait des efforts de cybersécurité avec NIS1, ça compte ?
Bien sûr ! Tous les progrès déjà réalisés seront précieux. D’une certaine manière, NIS2 est le prolongement logique de NIS1, avec la barre placée plus haut. Donc si vous étiez concerné par NIS1, il faudra surtout passer à la vitesse supérieure en termes d’exigences. Votre expérience NIS1 vous donnera une vraie longueur d’avance.
Qu'est-ce que je risque si je ne suis pas en règle ?
NIS2 prévoit des contrôles et des sanctions en cas de manquements graves. On parle de pénalités financières pouvant aller jusqu’à 2% de votre chiffre d’affaires mondial pour les entités essentielles. Mieux vaut donc jouer le jeu plutôt que tenter le diable. D’autant que les cyberattaques n’attendent pas et peuvent vous revenir beaucoup plus cher !
Quand NIS2 entre-t-elle en vigueur ?
NIS2 sera transposée dans le droit français d’ici octobre 2024. Cela peut vous sembler lointain, mais croyez-nous, le temps va filer vite. D’autant que les autorités comme l’ANSSI poussent les entreprises à s’y préparer sans attendre. C’est maintenant qu’il faut enclencher la dynamique pour être prêt le jour J.
D'autres questions sur NIS2 ?
N’hésitez pas à nous contacter. Chez EGGERS, la cybersécurité est notre ADN. Nos experts se feront un plaisir de vous décrypter les enjeux réglementaires et de vous aider à tracer votre feuille de route cyber. Parce que votre sérénité numérique, c’est notre priorité.
Pour en savoir plus, consulter le lien vers la FAQ officielle du site Cyber.gouv.fr
