Directive Network and Information Security

Groupes de travail

Face à l’accroissement des cybermenaces, l’Union européenne a mis en place un cadre réglementaire pour renforcer la cybersécurité des réseaux et des systèmes d’information (SI) critiques au sein de l’UE. Ce cadre comprend deux directives majeures : NIS (Network and Information Security) et NIS 2.

  • Directive NIS (2016/1148) : Adoptée en 2016, elle vise à harmoniser et à renforcer le niveau de sécurité des SI critiques au sein de l’UE.
  • Directive NIS 2 (EU) 2022/2382) : Adoptée en 2022, elle remplace et renforce la directive NIS initiale, en élargissant son champ d’application et en introduisant de nouvelles exigences.
NIS

Historique et contexte d'apparition

Les directives NIS et NIS 2 ont émergé d’une prise de conscience croissante des cybermenaces et de leur potentiel impact sur les infrastructures critiques européennes. Les cyberattaques dans des secteurs tels que l’énergie, les transports, la santé et les finances peuvent avoir des conséquences dévastatrices, tant sur le plan économique que social.

Périmètre d'application et secteurs concernés

  • NIS : S’applique aux opérateurs de services essentiels (OSE) dans des secteurs critiques tels que l’énergie, les transports, la santé et l’eau.
  • NIS 2 : Élargit le périmètre d’application de NIS à un éventail plus large d’entités, y compris les entités importantes dans des secteurs critiques tels que le transport, l’énergie, la santé, les services postaux et de messagerie, la gestion des déchets, la fabrication de produits chimiques, et les technologies de l’information et de la communication.

Régulateurs chargés de la surveillance de l'application

La mise en œuvre et la surveillance des directives NIS et NIS 2 incombent aux États membres de l’UE. Chaque État membre doit désigner une autorité nationale compétente (ANC) chargée de veiller au respect des obligations définies par les directives. En France, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) joue ce rôle.

En explorant les capacités de Certification et Services Limitées CCQS, vous découvrirez une analyse détaillée des limites de l’EUCS pour les services du Cloud selon la CNIL, qui est essentielle pour comprendre les enjeux actuels.

Défis de transposition

La transposition des directives NIS et NIS 2 représente un défi important pour les États membres, notamment en raison de la complexité des exigences techniques et organisationnelles. Parmi les défis figurent :

  • L’identification des entités concernées
  • La mise en place de mesures de sécurité adéquates
  • La notification des incidents cyber
  • La coopération entre les autorités nationales

Le rôle du groupe de travail du Forum des Compétences

Le groupe de travail du Forum des Compétences, créé en 2019 en partenariat avec France Assureurs pour accompagner les acteurs du secteur de l’assurance dans la mise en conformité avec la directive NIS initiale, continue de jouer un rôle crucial dans le contexte de NIS 2. Le groupe a pour objectif d’aider les assureurs à comprendre les nouvelles exigences de la directive et à les mettre en œuvre de manière efficace.

NOS ACTUALITÉS