La directive sur les réseaux et les systèmes d’information (NIS) a été introduite en 2016 en tant que première législation européenne sur la cybersécurité. Son objectif principal était d’accroître la cyber-résilience des États membres de l’UE en identifiant les opérateurs de services essentiels dans l’Union et en exécutant les mesures de cybersécurité, la déclaration des incidents étant une exigence centrale.

Pourquoi Le NIS A Été Révisé

Cependant, peu de temps après sa création, il est devenu clair que la mise en œuvre de la directive variait considérablement d’un État membre à l’autre. Cette mise en œuvre incohérente a conduit à un système fragmenté où certaines entreprises et organisations étaient considérées comme essentielles dans certains pays, mais pas dans d’autres.

Pour corriger cela, la Commission européenne a décidé de réviser la directive NIS afin de définir clairement les organisations couvertes et leurs exigences spécifiques, un plan qui s’est concrétisé en 2021 sous la forme de la directive sur les réseaux et la sécurité de l’information (NIS2).

NIS2 : Une Meilleure Version de NIS

La directive NIS2 élargit le champ d’application de la directive NIS originale pour inclure un plus large éventail d’organisations, augmentant ainsi le nombre d’« entités » couvertes par un facteur de 10. Alors que le NIS ne couvrait que des secteurs tels que l’approvisionnement en eau, l’énergie, l’infrastructure numérique, les banques, l’infrastructure des marchés financiers, la santé et les transports, le NIS2 élargit maintenant sa gamme de secteurs touchés pour inclure l’administration publique, les fournisseurs numériques, l’espace, la recherche, les services postaux, la gestion des déchets, l’alimentation, la fabrication et les produits chimiques.

En outre, le NIS2 renforce également les exigences en matière d’application de la loi en matière de cybersécurité, y compris la déclaration obligatoire précoce des incidents, l’élargissement de la gestion des risques et une nouvelle désignation de responsabilité en matière de cybersécurité au niveau C.