Cybersécurité : connaissez vous la directive NIS 2 ?
Dans le cadre de nos travaux numérique et cyber sécurité et à la veille du salon de Lille, nous rappelons le cadre de la directive NIS 2
avec notamment divers documents des institutions européennes
Nous publions une photo humoristique rappelant que contrairement aux traités, il ne s'agit pas de la ville, mais qu'il est important de bien positionner le parasol...
Code de la synthèse:
-
- 23.08.06.00 Cybercriminalité
- 31.01.01.00 Cadre règlementaire
- 31.05.03.00 Réseaux internet
- Descripteur EUROVOC:
- Code répertoire:
The NIS2 Directive: A high common level of cybersecurity in the EU
https://www.europarl.europa.eu/thinktank/en/document/EPRS_BRI(2021)689333
QUEL EST L’OBJET DE CETTE DIRECTIVE?
La directive, connue sous le nom de NIS2, établit un cadre réglementaire commun en matière de cybersécurité visant à améliorer le niveau de cybersécurité dans l’Union européenne (UE), en exigeant des États membres de l’UE qu’ils renforcent leurs capacités en matière de cybersécurité et en introduisant des mesures de gestion des risques de cybersécurité et des rapports dans les secteurs critiques, ainsi que des règles en matière de coopération, de partage d’informations, de supervision et d’application de la loi.
POINTS CLÉS
La cybersécurité désigne les activités nécessaires pour protéger les réseaux et les systèmes d’information, les utilisateurs de ces systèmes et les autres personnes concernées par les cybermenaces.
Secteurs critiques
La directive s’applique principalement aux moyennes et grandes entités opérant dans les secteurs de haute criticité suivants, tels que définis à l’annexe I:
- l’énergie:
- l’électricité, y compris les systèmes de production, de distribution et de transmission et les bornes de recharge,
- le chauffage et le refroidissement urbains,
- le pétrole, y compris les pipelines de production, de stockage et de transport,
- le gaz, y compris les systèmes d’approvisionnement, de distribution et de transmission et le stockage, et
- l’hydrogène;
- le transport par voie aérienne, ferroviaire, fluviale et routière;
- les infrastructures bancaires et financières telles que les établissements de crédit, les opérateurs de plateformes de négociation et les contreparties centrales;
- la santé, y compris les prestataires de soins de santé, les fabricants de produits pharmaceutiques de base et de dispositifs médicaux essentiels, ainsi que les laboratoires de référence de l’UE;
- l’eau potable;
- les eaux usées;
- l’infrastructure numérique, y compris les fournisseurs de services de centres de données, de services d’informatique en nuage, de réseaux publics de communications électroniques et de services de communications électroniques accessibles au public;
- les services gérés de TIC (d’entreprise à entreprise);
- l’espace;
- l’administration publique au niveau central et régional, à l’exclusion du pouvoir judiciaire, des parlements et des banques centrales. Toutefois, elle ne s’applique pas aux entités de l’administration publique qui exercent des activités dans les domaines de la sécurité nationale, de la sécurité publique, de la défense ou de l’application de la loi.
Elle s’applique également à d’autres secteurs critiques, tels que définis à l’annexe II:
- les services postaux et de messagerie;
- la gestion des déchets;
- la fabrication, la production et la distribution de produits chimiques;
- la production, la transformation et la distribution de denrées alimentaires;
- l’industrie manufacturière, notamment les dispositifs médicaux, les produits informatiques, électroniques et optiques, certains équipements et machines électriques, les véhicules à moteur et autres équipements de transport;
- les fournisseurs numériques de places de marché en ligne, de moteurs de recherche et de réseaux sociaux; et
- les organismes de recherche.
Stratégie nationale de cybersécurité
Chaque État membre doit adopter une stratégie nationale pour atteindre et maintenir un niveau élevé de cybersécurité dans les secteurs critiques, y compris:
- un cadre de gouvernance clarifiant les rôles et les responsabilités des parties prenantes au niveau national;
- une politique relative à la sécurité des chaînes d’approvisionnement;
- une politique de gestion des failles de sécurité;
- une politique de promotion et de développement de l’éducation et de la formation en matière de cybersécurité; et
- des mesures visant à améliorer la sensibilisation des citoyens à la cybersécurité.
Cybersécurité des réseaux et des systèmes d'information (2022)
Directive (UE) 2022/2555 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l'ensemble de l'Union La directive, connue sous le nom de NIS2, établit un ca...
EUR-Lex - 02022L2555-20221227 - EN - EUR-Lex
CHAPTER III Article 14 In order to support and facilitate strategic cooperation and the exchange of information among Member States, as well as to strengthen trust and confidence, a Cooperation ...