Cybersécurité : la directive NIS 2 publiée

Désormais, l’affaire est bouclée. Après le long circuit de discussions et de prises de décision, l’Union Européenne a adopté le 14 décembre 2022 la fameuse directive NIS 2 qui a été publiée au Journal Officiel de l’Union Européenne le 27 décembre 2022. Chaque état membre de l’Union Européenne a désormais 21 mois pour la transposer dans son droit national. NIS 2 prend la suite et amende la directive NIS (Network and Information Security), adoptée en 2016.

Le nom officiel complet de la directive NIS 2 est un peu plus long mais explicite bien son objet : « Directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, modifiant le règlement (UE) no 910/2014 et la directive (UE) 2018/1972, et abrogeant la directive (UE) 2016/1148 ». Elle vise à harmoniser entre tous les états membres et renforcer les obligations en matière de cybersécurité et de déclaration en cas d’incident. Certains secteurs (transport, santé, infrastructures télécoms…) sont soumis à des obligations particulières du fait de leur caractère particulièrement sensible. La taille des entités (entreprises, établissements publics…) est un critère majeur pour déterminer la sévérité des mesures à prendre.