Votée par les députés européens le 10 novembre 2022 et inscrite au Journal Officiel, NIS 2 (ou « Network Information Security ») a pour objectif d’harmoniser et de renforcer la cybersécurité du marché européen.

Cette directive, qui sera transposée à l’échelle nationale d’ici le 17 octobre 2024, apportera plusieurs exigences pouvant bouleverser les entreprises européennes.
En 2016, le parlement européen a adopté NIS 1 dans un souci de renforcement de la cybersécurité des organisations majeures en Europe, dans des secteurs perçus comme sensibles. Mais avec l’instabilité du contexte géopolitique et l’augmentation des cyberattaques, l’Europe a publié à la fin de l’année 2022 l’extension NIS 2 afin d’élargir le périmètre des secteurs critiques et augmenter les niveaux de sécurité.
Avec plus de 18 secteurs d’activité concernés, cette directive oblige des milliers d’entités à mieux protéger la sécurité de leurs réseaux par le biais de différentes stratégies cyber comme l’analyse de données, le traitement des incidents, la continuité des activités, la sécurité de la chaîne d’approvisionnement ou l’utilisation de système de communication d’urgence sécurisés au sein de l’organisation. Cette directive prévoit aussi des sanctions plus sévères, avec des amendes comprises entre 1,4 % et 2 % du chiffre d’affaires pour les entreprises n’appliquant pas les mesures de sécurité adéquates.
Il est également important de noter que la Directive NIS 2 efface la dénomination OSE (Opérateurs de services essentiels) au profit de deux catégories d’entités : les entités essentielles (EE) qui regrouperaient principalement les grandes entreprises dans les secteurs classés comme hautement critiques et les entités importantes (EI) qui concerneraient principalement les organisations de taille moyenne dans les secteurs classés comme hautement critiques et les organisations des secteurs critiques.
En complément de NIS 2, le parlement européen a adopté en juin 2023 la réglementation DORA (Digital Operational Resilience Act) visant particulièrement le secteur bancaire car il est considéré comme hautement critique. Parmi les acteurs concernés, on retrouve les établissements de crédit, des sociétés de gestion ou des compagnies d’assurance. Ces organisations devront redoubler de vigilance sur les risques liés aux technologies d’information et communication et élaborer des processus de gestion des incidents.

Renaud Ghia, Président de Tixeo, ajoute : « Dans le cadre de NIS 2, les organisations attestant d’un incident de cybersécurité disposent d’un délai de 24 heures pour le signaler à l’ANSSI. Bien que la mesure puisse encore être modifiée, les entreprises devront s’organiser pour réagir rapidement. S’il leur est conseillé de faire appel à des prestataires pour évaluer leur niveau de sécurité et recevoir des préconisations, les entreprises doivent également préparer et former dirigeants, managers et collaborateurs aux risques cyber. Cette directive attend justement des entreprises qu’elles ne dépendent plus simplement de leur service informatique mais que la direction soit en capacité d’approuver des mesures de sécurité ».

A propos de Tixeo :

Créée à Montpellier en 2004, Tixeo est leader européen de la vidéo-collaboration sécurisée. Unique acteur français proposant une technologie de visioconférence certifiée (CSPN)/qualifiée par l’ANSSI (Agence nationale de la sécurité des systèmes d’information) et reconnue par la CNIL, Tixeo a conçu ses solutions sur un ensemble de mécanismes innovants permettant d’assurer un niveau de sécurité encore jamais atteint pour des réunions en ligne. La conception et le développement de ses logiciels sont exclusivement réalisés en France (100% Made in France) et la technologie n’est pas soumise aux législations étrangères. La technologie française Tixeo est labellisée « France Cybersecurity » et « Cybersecurity Made in Europe ». Tixeo est membre de l’Alliance pour la Confiance Numérique (ACN), du CLUSIF, d’HEXATRUST et de la European Champions Alliance

En savoir plus : www.tixeo.com