Directive NIS 2 : votre entité est-elle concernée ?

Face à des cyberattaques toujours plus ingénieuses, touchant de plus en plus d’entités trop souvent mal protégées, la directive NIS 2 élargit ses objectifs et son périmètre d’application pour renforcer la cybersécurité.

Selon les observations de l’Anssi (Agence nationale de la sécurité des systèmes d’information – Panorama de la cybermenace 2022), plus de 60 % des attaques qui lui sont remontées concernent des petites structures (PME/TPE/ETI, collectivités territoriales). La tactique des cyberattaquants consiste à remonter les chaînes de sous-traitance plutôt que de cibler directement les clients finaux.

Dans le cadre de la transposition nationale de la directive NIS 2, l’Anssi a collaboré entre autres avec le Cesin (Club des experts de la sécurité de l’information et du numérique).

L’un des premiers enseignements des travaux menés conjointement par l’Anssi et le Cesin, principalement auprès d’ETI et de grandes entreprises, est que « les critères d’éligibilité à NIS 2 soulèvent un certain nombre de questions et le taux d’entreprises qui s’interrogent est relativement élevé ». En effet, « un tiers des participants ne savent pas déterminer si leur entreprise sera assujettie » à NIS 2, ou pas.

La fiche pratique (cliquez sur l’image ci-dessous), sous forme de logigramme, est destinée à vous guider dans la réponse à cette question.

Cette fiche se base sur le texte de la directive européenne et représente un cheminement simplifié et qui devra être confirmé par la transposition nationale de la directive, attendue en octobre 2024.

Article extrait du n° 602 de Face au Risque : « Les Pfas dans les rejets acqueux » (juillet-août 2024).