Quelles sont les exigences en matière de cybersécurité auxquelles les entités régulées à la directive NIS 2 devront se soumettre ?
La directive NIS 2 définit dans son article 21 dix mesures de gestion des risques en matière de cybersécurité minimales à mettre en œuvre par les futures entités essentielles et importantes. Ces mesures garantissent, pour les réseaux et les systèmes d’information des futures entités essentielles et importantes, « un niveau de sécurité adapté et proportionné au risque existant, en tenant compte de l’état des connaissances ».
Ces mesures seront précisées dans les textes législatifs et réglementaires prévus par la transposition de la directive NIS 2 en droit national. Ces exigences de cybersécurité s’inscriront dans la suite logique de l’actuelle réglementation NIS 1, et porteront principalement sur des aspects d’hygiène informatique fondamentale, afin que les entités puissent se protéger contre les menaces les plus courantes.
Au niveau national, le détail des mesures sera défini prochainement et intègrera notamment le principe de proportionnalité entre les entités essentielles et les entités importantes, ainsi que les avis donnés par les entités au travers des consultations en cours. L’ANSSI travaille actuellement à la rédaction de ce référentiel d’exigences, qui s’articulerait autour d’une vingtaine d’objectifs de sécurité et qui sera la traduction technique, opérationnelle et organisationnelles des mesures listées l’article 21 de la directive NIS 2. Chaque objectif serait assorti de mesures proposées qui constitueraient des « moyens acceptables de conformité », dont le respect permettrait d’atteindre les objectifs.
Le référentiel prévoira également qu’il y ait, dans son application, une différence claire entre les entités essentielles qui devront respecter un niveau d’exigence plus haut, et les entités importantes, qui constitueront la majorité des nouveaux acteurs régulés.
La présente Foire Aux Questions a pour but d’apporter une orientation générale aux futures entités régulées et autres parties intéressées dans le cadre de l’application de la directive NIS 2. Elle est dépourvue de force juridique et n’engage en aucune façon l’ANSSI. La directive 2022/2555 du Parlement Européen et du Conseil du 14 décembre 2022 telle que publiée au Journal officiel de l’Union européenne est l’unique référence permettant de déterminer l’intégralité des conditions relatives à l’application de cette même directive.
Ces mesures seront précisées dans les textes législatifs et réglementaires prévus par la transposition de la directive NIS 2 en droit national. Ces exigences de cybersécurité s’inscriront dans la suite logique de l’actuelle réglementation NIS 1, et porteront principalement sur des aspects d’hygiène informatique fondamentale, afin que les entités puissent se protéger contre les menaces les plus courantes.
Au niveau national, le détail des mesures sera défini prochainement et intègrera notamment le principe de proportionnalité entre les entités essentielles et les entités importantes, ainsi que les avis donnés par les entités au travers des consultations en cours. L’ANSSI travaille actuellement à la rédaction de ce référentiel d’exigences, qui s’articulerait autour d’une vingtaine d’objectifs de sécurité et qui sera la traduction technique, opérationnelle et organisationnelles des mesures listées l’article 21 de la directive NIS 2. Chaque objectif serait assorti de mesures proposées qui constitueraient des « moyens acceptables de conformité », dont le respect permettrait d’atteindre les objectifs.
Le référentiel prévoira également qu’il y ait, dans son application, une différence claire entre les entités essentielles qui devront respecter un niveau d’exigence plus haut, et les entités importantes, qui constitueront la majorité des nouveaux acteurs régulés.
La présente Foire Aux Questions a pour but d’apporter une orientation générale aux futures entités régulées et autres parties intéressées dans le cadre de l’application de la directive NIS 2. Elle est dépourvue de force juridique et n’engage en aucune façon l’ANSSI. La directive 2022/2555 du Parlement Européen et du Conseil du 14 décembre 2022 telle que publiée au Journal officiel de l’Union européenne est l’unique référence permettant de déterminer l’intégralité des conditions relatives à l’application de cette même directive.
Mis à jour le : 23/07/2024
Merci !