La directive NIS2 vise à renforcer la sécurité des infrastructures critiques au sein de l'Union européenne en imposant des exigences accrues aux organisations concernées. Son objectif principal est d'assurer un niveau élevé et homogène de cybersécurité dans tous les États membres.
Principales obligations imposées aux États membres
Pour atteindre cet objectif, la directive impose aux États membres de mettre en place plusieurs mesures essentielles, notamment :
- Émettre des avertissements concernant les violations de la directive (Art. 58).
- Adopter des instructions contraignantes pour remédier aux insuffisances constatées.
- Ordonner aux entités de mettre un terme aux comportements non conformes.
- Garantir la conformité des mesures de gestion des risques en matière de cybersécurité.
- Informer les clients des cybermenaces potentielles et des mesures à prendre.
- Mettre en œuvre les recommandations issues d'un audit de sécurité.
- Rendre publics les aspects de violations constatées.
- Nommer un responsable du contrôle pour les entités essentielles.
Conséquences de la non-conformité à la directive NIS2
Sanctions non financières
Les autorités compétentes peuvent imposer diverses mesures correctives, telles que :
- Des obligations de mise en conformité sous contrainte.
- L'implémentation immédiate de directives spécifiques.
- La réalisation d'audits de sécurité.
- L'obligation d'informer les clients des risques potentiels.
Sanctions financières
La directive distingue les sanctions applicables selon le type d'entité concernée :
- Entités Essentielles (EE) : Amende pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial (Art. 59).
- Entités Importantes (IE) : Amende pouvant aller jusqu'à 7 millions d'euros ou 1,4 % du chiffre d'affaires annuel mondial.
- Des amendes spécifiques pour non-respect des obligations d'information et de contrôle, variant de 500 à 200 000 euros.
- L'amende est doublée en cas de récidive dans un délai de trois ans.