Quel est le périmètre précis des systèmes d'information sur lequel les entités assujetties devront apporter des mesures de cybersécurité ?
La directive NIS 2 prévoit l’application des mesures de sécurité sur l’ensemble des systèmes d’information de l’entité dès lors qu’elle devient une entité importante (EI) ou essentielle (EE), ce qui signifie que l’application de NIS 2 ne se limite pas aux seuls systèmes d’information supportant les activités ou services pour lesquels l’entité est considérée comme étant EI ou EE.
Dans le cadre de la transposition de la directive NIS 2 et concernant le périmètre des systèmes d’information sur lesquels appliquer les mesures de cybersécurité, l’ANSSI dispose d’une hypothèse de travail qui consiste en un mécanisme permettant à une entité importante ou essentielle de limiter l’application desdites mesures aux seuls systèmes d’information pour lesquels un incident de sécurité pourrait entraîner :
- La dégradation ou l’interruption des activités ou services de l’entité ;
- La divulgation à des personnes non autorisées d’informations sensibles traitées par les activités ou services de l’entité ;
- L’altération des informations nécessaires aux activités de l’entité.
Cette hypothèse de travail devra être confirmée au sein du parcours législatif et réglementaire.
La présente Foire Aux Questions a pour but d’apporter une orientation générale aux futures entités régulées et autres parties intéressées dans le cadre de l’application de la directive NIS 2. Elle est dépourvue de force juridique et n’engage en aucune façon l’ANSSI. La directive 2022/2555 du Parlement Européen et du Conseil du 14 décembre 2022 telle que publiée au Journal officiel de l’Union européenne est l’unique référence permettant de déterminer l’intégralité des conditions relatives à l’application de cette même directive.
Dans le cadre de la transposition de la directive NIS 2 et concernant le périmètre des systèmes d’information sur lesquels appliquer les mesures de cybersécurité, l’ANSSI dispose d’une hypothèse de travail qui consiste en un mécanisme permettant à une entité importante ou essentielle de limiter l’application desdites mesures aux seuls systèmes d’information pour lesquels un incident de sécurité pourrait entraîner :
- La dégradation ou l’interruption des activités ou services de l’entité ;
- La divulgation à des personnes non autorisées d’informations sensibles traitées par les activités ou services de l’entité ;
- L’altération des informations nécessaires aux activités de l’entité.
Cette hypothèse de travail devra être confirmée au sein du parcours législatif et réglementaire.
La présente Foire Aux Questions a pour but d’apporter une orientation générale aux futures entités régulées et autres parties intéressées dans le cadre de l’application de la directive NIS 2. Elle est dépourvue de force juridique et n’engage en aucune façon l’ANSSI. La directive 2022/2555 du Parlement Européen et du Conseil du 14 décembre 2022 telle que publiée au Journal officiel de l’Union européenne est l’unique référence permettant de déterminer l’intégralité des conditions relatives à l’application de cette même directive.
Mis à jour le : 07/06/2024
Merci !