Le Sénat a examiné les 11 et 12 mars derniers le projet de loi visant à transposer les directives européennes NIS 2 et REC ainsi que le règlement DORA. Au cœur de ce texte, NIS 2 impose un cadre strict en matière de cybersécurité, avec des obligations renforcées pour les entités essentielles (EE) et les entités importantes (EI). Zoom sur les nouvelles règles, les sanctions prévues et les moyens pour les collectivités territoriales et entreprises concernées d’être conformes.
NIS2 et REC : objectif résilience
Avec une augmentation, en 2024, de 15% par rapport à l’année 2023¹, notamment les attaques par rançongiciel qui ciblent tous les secteurs – des PME aux infrastructures stratégiques –, la directive NIS2 entend muscler la sécurité des EE et EI à l'échelle européenne. Elle succède à NIS1, directive qui datait de 2016, en élargissant son champ d'application et en intégrant un nombre beaucoup plus important d'entités. Elles sont pas moins de 15 000, incluant des entreprises de taille moyenne, collectivités locales, grandes entreprises et sous-traitants critiques et devront désormais se conformer aux mesures imposées par NIS2. « NIS2 se veut comme un pilier de la conformité quelque soit le statut de l’entreprise ou de l’entité » détaille Garance Mathias, avocate au barreau de Paris.