Réponse GRC
À qui s’applique NIS2 ?
Réponse directe
NIS2 (Directive (UE) 2022/2555) s’applique aux organisations publiques et privées qui exercent leur activité dans l’un des secteurs listés dans ses annexes et qui atteignent un seuil de taille, en général les organisations de taille moyenne et supérieure. Les organisations concernées sont classées en entités essentielles ou entités importantes — distinction qui détermine l’intensité de la supervision et le niveau des sanctions, et non l’existence des obligations. Comme NIS2 est une directive, le périmètre précis est fixé par la transposition nationale de chaque État membre. En France, la directive a été transposée par la loi de programmation militaire (LPM) et la loi organique relative à la LPM (LOPMI), avec l’ANSSI comme autorité nationale de cybersécurité. NIS2 distingue deux niveaux. Les entités essentielles sont les plus grandes organisations des secteurs à criticité maximale ; les entités importantes, le reste du périmètre. Les deux niveaux doivent respecter les mêmes obligations fondamentales de gestion des risques et de signalement. La différence porte sur la supervision : les entités essentielles font l’objet d’une supervision proactive ex ante, les entités importantes d’une supervision réactive ex post, généralement après un incident ou des signes de non-conformité. NIS2 organise les secteurs couverts en deux annexes. L’annexe I liste les secteurs à haute criticité : énergie, transports, banque, infrastructures des marchés financiers, santé, eau potable et eaux usées, infrastructure numérique, gestion des services TIC, administration publique et espace. L’annexe II couvre d’autres secteurs critiques : services postaux et de courrier, gestion des déchets, produits chimiques, alimentation, fabrication de certains produits, fournisseurs numériques et recherche.
Questions connexes