Cette inscription dans la loi française est destinée à élever le niveau de vigilance des entreprises au moment où les actes cybercriminels en France sont en hausse de 15 % en 2024. Par rapport à NIS 1, la nouvelle directive élargit son champ d’application et impose des obligations essentielles à 15 000 nouvelles entités : collectivités locales, administrations, PME et grandes entreprises dans 18 secteurs d’activité différents (santé, traitement des déchets, énergie, transport, production de denrées alimentaires…).
Les prestataires d'une entreprise concernée par NIS 2 pourraient être sollicités pour justifier des mesures de sécurité qu'ils ont mises en place. La conformité à la loi devrait progressivement devenir un critère de compétitivité, intégré aux processus de qualité et de gestion des risques déjà pris en compte. Quant aux entreprises directement concernées, elles doivent mettre en place des mesures juridiques, techniques et organisationnelles à même de maîtriser les risques qui menacent la sécurité de leurs réseaux et de leurs systèmes d'information. En cas du moindre incident, elles doivent immédiatement en informer l’Agence nationale de la sécurité des systèmes d'information (ANSSI). Elles doivent également sensibiliser leurs salariés, tester en amont leurs vulnérabilités et mettre en place un plan de reprise de l'activité informatique. Chargée du contrôle et de la mise en application de NIS 2 en France, l’ANSSI prévoit des sanctions strictes : des amendes pouvant aller jusqu'à 2 % du chiffre d’affaires en cas de non-conformité et des responsabilités pénales pour les dirigeants en cas de négligence avérée.
Pour savoir si son entreprise est concernée, un test est disponible sur https://monespacenis2.cyber.gouv.fr