Quel est le périmètre précis des systèmes d'information sur lequel les entités régulées devront apporter des mesures de cybersécurité ?
La directive NIS 2 prévoit l’application des mesures de sécurité à l’ensemble des systèmes d’information de l’entité dès lors qu’elle devient une entité importante (EI) ou essentielle (EE), ce qui signifie que l’application de NIS 2 ne se limite pas aux seuls systèmes d’information supportant les activités ou services pour lesquels l’entité est considérée comme étant EI ou EE.
En effet, les systèmes d’information d’une organisation étant désormais tous interdépendants, il est nécessaire d’élever le niveau de sécurité de l’ensemble de ces systèmes afin d’assurer une meilleure protection contre les attaques cybercriminelles. Celles-ci peuvent en effet viser des systèmes d’information annexes ou supports et s’en servir pour se latéraliser vers le reste de l’infrastructure numérique.
Toutefois, les entités essentielles et importantes pourraient choisir de ne pas appliquer les mesures de sécurité sur certains de leurs systèmes d’information, sur la base d’une analyse de risques réalisée par l’entité, dûment justifiée, et qui aurait démontré que la défaillance de ces systèmes n’aurait pas d’impact sur la réalisation des activités de l’entité ou la fourniture de ses services. L’ANSSI invite cependant à la prudence dans l’usage de cette possibilité car le périmètre des systèmes d’information de l’entité peut être amené à évoluer en fonction des évolutions des activités de l’entité.
Pour aller plus loin :
Quelles sont les exigences en matière de cybersécurité auxquelles les entités régulées à la directive NIS 2 devront se soumettre ?
La présente Foire Aux Questions a pour but d’apporter une orientation générale aux futures entités régulées et autres parties intéressées dans le cadre de l’application de la directive NIS 2. Elle est dépourvue de force juridique et n’engage en aucune façon l’ANSSI. La directive 2022/2555 du Parlement Européen et du Conseil du 14 décembre 2022 telle que publiée au Journal officiel de l’Union européenne est l’unique référence permettant de déterminer l’intégralité des conditions relatives à l’application de cette même directive.
En effet, les systèmes d’information d’une organisation étant désormais tous interdépendants, il est nécessaire d’élever le niveau de sécurité de l’ensemble de ces systèmes afin d’assurer une meilleure protection contre les attaques cybercriminelles. Celles-ci peuvent en effet viser des systèmes d’information annexes ou supports et s’en servir pour se latéraliser vers le reste de l’infrastructure numérique.
Toutefois, les entités essentielles et importantes pourraient choisir de ne pas appliquer les mesures de sécurité sur certains de leurs systèmes d’information, sur la base d’une analyse de risques réalisée par l’entité, dûment justifiée, et qui aurait démontré que la défaillance de ces systèmes n’aurait pas d’impact sur la réalisation des activités de l’entité ou la fourniture de ses services. L’ANSSI invite cependant à la prudence dans l’usage de cette possibilité car le périmètre des systèmes d’information de l’entité peut être amené à évoluer en fonction des évolutions des activités de l’entité.
Pour aller plus loin :
Quelles sont les exigences en matière de cybersécurité auxquelles les entités régulées à la directive NIS 2 devront se soumettre ?
La présente Foire Aux Questions a pour but d’apporter une orientation générale aux futures entités régulées et autres parties intéressées dans le cadre de l’application de la directive NIS 2. Elle est dépourvue de force juridique et n’engage en aucune façon l’ANSSI. La directive 2022/2555 du Parlement Européen et du Conseil du 14 décembre 2022 telle que publiée au Journal officiel de l’Union européenne est l’unique référence permettant de déterminer l’intégralité des conditions relatives à l’application de cette même directive.
Mis à jour le : 28/10/2024
Merci !