Le texte final de la directive NIS2, officiellement connue sous le nom de directive (UE) 2022/2555, est structuré de manière à fournir un cadre juridique complet visant à renforcer la cybersécurité dans l'ensemble de l'Union européenne. La directive est divisée en plusieurs sections clés, chacune abordant différents aspects de la cybersécurité afin de garantir un niveau de protection commun élevé dans les États membres.

Structure et sections clés

1. Entités essentielles et importantes: Il y aura deux types d'entités soumises aux règles du NIS2 (les entités essentielles et les entités importantes), bien que la distinction entre elles soit quelque peu floue, une liste non exhaustive étant fournie.
2. Autorités nationales de cybersécurité : La NIS2 permet aux États membres d'élaborer des stratégies nationales en matière de cybersécurité et définit le rôle des autorités compétentes, notamment en désignant des autorités de gestion des crises liées à la cybersécurité et des autorités chargées de la sécurité informatique. incidentIncident Un événement compromettant la disponibilité, l'authenticité, l'intégrité ou la confidentialité des données stockées, transmises ou traitées ou des services offerts par les réseaux et les systèmes d'information ou accessibles par leur intermédiaire. Définition selon l'article 6 de la directive (UE) 2022/2555 (directive NIS2) (CSIRT).
3. Cybersécurité RisqueRisque désigne le potentiel de perte ou de perturbation causé par un incident et doit être exprimé comme une combinaison de l'ampleur de cette perte ou de cette perturbation et de la probabilité d'occurrence de l'incident. Définition selon l'article 6 de la directive (UE) 2022/2555 (directive NIS2) Gestion et rapports: Toutes les entités couvertes par la directive mettent en œuvre de solides mesures de gestion des risques. Celles-ci comprennent des évaluations régulières des risques de cybersécurité, la mise en œuvre de mesures de sécurité appropriées et des obligations strictes de notification des incidents avec un système clair d'alerte coordonnée. VulnérabilitéVulnérabilité Faiblesse, susceptibilité ou défaut des produits ou services TIC pouvant être exploités par une cybermenace. Définition selon l'article 6 de la directive (UE) 2022/2555 (directive NIS2) Procédure de divulgation (CVD).
4. Chaîne d'approvisionnement: La directive souligne également l'importance de la sécurité de la chaîne d'approvisionnement, reconnaissant que les vulnérabilités dans une partie de la chaîne d'approvisionnement peuvent avoir des répercussions étendues.
5. Supervision et application: La directive détaille les mécanismes de surveillance et d'application que les États membres doivent mettre en place pour garantir la conformité. Cela comprend les pouvoirs des autorités compétentes pour effectuer des audits, imposer des sanctions et faire appliquer les dispositions de la directive. La directive introduit également de nouveaux éléments tels que des évaluations par les pairs entre les États membres afin d'améliorer la collaboration et de garantir une application cohérente dans toute l'UE.

La directive NIS2 élargit considérablement le champ d'application de son prédécesseur, NIS1, en couvrant davantage de secteurs et en introduisant des exigences plus strictes en matière de cybersécurité. Elle vise à créer une approche plus harmonisée de la cybersécurité dans l'UE, à réduire la fragmentation et à faire en sorte que les infrastructures et les services essentiels soient mieux protégés contre les cybermenaces.