Newsletter Paie & Sociale numéro 8
Avril 2024 | Numéro spécial : l’acquisition des congés payés pendant la maladie
La directive NIS - Network and Information Security - s’inscrit dans un cadre réglementaire large visant à renforcer la cybersécurité dans le marché européen, notamment dans les secteurs dépendant fortement des technologies de l'information et de la communication. Héritière de la NIS1, la nouvelle directive NIS2 étend son périmètre d’application, ce qui obligera davantage d’entités et de secteurs à suivre ses principes.
Concrètement, la directive NIS2 continuera de s’appliquer aux secteurs déjà concernés par NIS1 (établissements de santé, banques, transports), et s’étendra à de nouveaux secteurs d’activité : administrations publiques, télécommunications, plateformes de réseaux sociaux, services postaux, secteur spatial, entre autres.
L’autre changement majeur est sans aucun doute son extension aux entreprises, donc au monde du privé. Plusieurs milliers d’entreprises de toutes tailles, des PME aux groupes du CAC40, seront amenées à se conformer aux règles de cette nouvelle directive.
Enfin, NIS2 apporte une troisième évolution majeure : l’inclusion d’un mécanisme de proportionnalité, qui distingue deux catégories d’acteurs régulés en fonction de leur niveau de criticité ; les entités essentielles et les entités importantes. L’Agence nationale de la sécurité des systèmes d'information (ANSSI) compte s’appuyer sur cette notion pour définir des exigences propres à chaque catégorie d’entité.
NIS2 prévoit de nouvelles obligations pour les entités concernées sur le traitement des incidents, la gestion des risques, la sécurité de la chaîne d’approvisionnement, le chiffrement et la divulgation des vulnérabilités.
Enfin, la directive NIS 2 est également synonyme d’un renforcement du régime de sanction, qui s’appliquera à toutes les entités assujetties. Les sanctions s’étendront de l’obligation de réalisation d’audits de sécurité et mise en conformité jusqu’aux amendes administratives. Le mécanisme prévu pourra, selon les infractions, se fonder sur un pourcentage du chiffre d’affaires mondial de l’entité concernée : jusqu’à 10 millions d’euros d’amende, ou 2 % du chiffre d’affaires mondial, le montant le plus élevé étant retenu.
Avec cette nouvelle directive, des milliers d'entreprises seront donc contraintes par la loi de rehausser le niveau de leur sécurité informatique.
L’obligation de mise en conformité aux exigences de NIS2 ne sera actée qu’à partir de 2024. En attendant la transposition de la directive en droit français, les opérateurs de services essentiels (OSE) et les fournisseurs de services numériques doivent continuer à respecter les exigences prévues par NIS1 et les autres réglementations en matière de sécurité des systèmes d'information.
En outre, les entités qui étaient déjà dans le champ d’application de NIS1 doivent poursuivre leurs efforts de mise en conformité vis-à-vis de la première version de la directive. Les efforts déployés jusqu’ici ne seront bien entendu pas perdus, puisque la nouvelle version de la directive s’appuie sur les acquis de sa prédécesseuse. Enfin, les entreprises susceptibles d’être concernées par NIS2 doivent entamer dès à présent une démarche proactive pour rehausser le niveau de leur sécurité informatique.
Alors que la cybermenace ne faiblit pas et que les systèmes d’information restent vulnérables, la nouvelle directive NIS2 représente une opportunité unique pour les organisations d’investir pour améliorer leur niveau de sécurité. Les entreprises concernées ont tout intérêt à faire évaluer dès à présent leur niveau de maturité en matière de cybersécurité. Pour ce faire, elles peuvent choisir de se faire accompagner par des experts pour réaliser l’état des lieux de leur système d’information, et constituer une feuille de route pertinente en vue de leur mise en conformité NIS2.
Ce site web utilise des cookies.
Certains de ces cookies sont nécessaires, tandis que d'autres nous aident à analyser notre trafic, à diffuser de la publicité et à offrir des expériences personnalisées pour vous.
Pour plus d'informations sur les cookies que nous utilisons, veuillez vous référer à notre politique de confidentialité.
Ce site web ne peut pas fonctionner correctement sans ces cookies.
Les cookies analytiques nous aident à améliorer notre site web en collectant des informations sur son utilisation.
Nous utilisons des cookies marketing pour améliorer la pertinence de nos campagnes publicitaires.