 | Partage d’expert SAS Beeznet, parce que nos experts font gagner en performance en éclairant les problématiques les plus souvent rencontrées sur le terrain : la directive SRI2 sécurisation des réseaux et des systèmes d’information ; NIS2 Network and Information Security. Avec la contribution des experts engagés Beeznet : Miguel (Flexodev). |
La 14 décembre 2022, le Parlement européen et du Conseil du émettait la DIRECTIVE (UE) 2022/2555 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union en :
• modifiant le Règlement UE 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur
• modifiant la directive (UE) 2018/1972 du Parlement européen et du Conseil du 11 décembre 2018 établissant le code des communications électroniques européen
• abrogeant la directive (UE) 2016/1148 dite « NIS » du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union
Amendée le 19 janvier 2026, elle n’a toujours pas été transposée par la France, mauvais élève en la matière… La directive en est pour autant applicable.
Quels sont les points clés de cette directive SRI2 ?
La cybersécurité consiste à protéger les réseaux et les systèmes d’information (SRI), leurs utilisateurs et les autres personnes touchées contre les cyberincidents et les menaces. La directive SRI2 relève le niveau d’ambition commun de l’UE en matière de cybersécurité, grâce à un champ d’application plus large, à des règles plus claires et à des outils de surveillance plus solides.
SRI2 établit un cadre juridique unifié pour préserver la cybersécurité dans 18 secteurs critiques dans l’ensemble de l’UE. Outre les secteurs déjà couverts par la SRI 1, les nouvelles règles s’appliquent également à de nouveaux secteurs.
Elle introduit des mesures de gestion des risques et des exigences en matière de communication d’informations aux entités d’un plus grand nombre de secteurs et établit des règles pour la coopération, le partage d’informations, la supervision et l’application des mesures de cybersécurité.
SRI2 impose à chaque État membre de renforcer leurs capacités en matière de cybersécurité en :
- adoptant une stratégie nationale en matière de cybersécurité, qui comprenne des politiques de sécurité de la chaîne d’approvisionnement, de gestion des vulnérabilités et d’éducation et de sensibilisation à la cybersécurité.
- collaborant avec l’UE pour la réaction et l’application transfrontières.
- établissant et mettant à jour régulièrement une liste des opérateurs de services essentiels,
- veillant à ce que ces entités respectent les exigences de la directive.
En janvier 2026, la Commission a proposé un nouveau train de mesures sur la cybersécurité afin de renforcer encore la résilience et les capacités de l’UE en matière de cybersécurité .. avec des modifications ciblées.
Quels sont les points clés de cette directive SRI2 ?
La directive NIS 2 s’appuie sur les acquis de la directive NIS 1 . Elle élargit ses objectifs et son périmètre d’application pour apporter davantage de protection. Cette extension du périmètre prévue par NIS 2 est sans précédent en matière de réglementation cyber.
Elle concerne les «réseau et système d’information»: c’est à dire réseau de communications électroniques, tout (sous-)dispositif interconnectés dont un ou plusieurs éléments assurent, traitement automatisé de données numériques (en exécution d’un programme), données numériques stockées, traitées, récupérées ou transmises en vue de leur fonctionnement, utilisation, protection et maintenance;
Elle est applicable aux entités qui se retrouve dans un des secteurs, sous-secteur et type d’entité et respecte les critères de taille (effectif >50 OU CA > 10 millions €) Ou systématiquement aux fournisseurs de réseaux communication/ prestataires de services de confiance/ fournisseurs de registre de nom de domaine.
Les annexes 1 et 2 indiquent les secteurs, sous-secteurs et les types d’entité concernés. En incluant l’administration publique.
Elle introduit un mécanisme de proportionnalité en distinguant plusieurs catégories d’entités régulées en fonction de leur niveau de criticité :
- entités essentielles : activités de l’annexe1 ET Grandes
- entités importantes: activités de l’annexe 2 et grande + Moyenne (annexe 1 et 2)
NB: Grandes ( effectif >250 OU CA > 50 millions€ OU bilan > 43 millions) ; PME (effectif >50; CA >10millions€ ; bilan > 10million€) - petites entreprises (<50, CA <10 millions€ ; bilan <10millions€) & micro -entreprise (<10; CA <2millions € ; bilan <2millions €): NON concernées
Quels liens avec ISO 27001:2022 ?
Voici le sommaire de la directive. Les articles concernant les entités (entreprises essentielles, importantes, critiques…) sont cochés. Et dans ce cas, les mesures qui viennent en complément ou superposition à l’ISO 27001:2022 « système de management de la sécurité de l’information – Exigences » font référence à l’exigence.
Extrait uniquement. Pour accéder au tableau complet, entrez en contact (ici)
| Sommaire | Concerne les entités | § ISO 27001:2022 concerné |
| CHAPITRE I DISPOSITIONS GÉNÉRALES | ||
| Article 1 Objet | ||
| Article 2 Champ d’application (amendé en jan26) | X | 4.3 |
| Article 3 Entités essentielles et importantes (amendé et ajout en jan26) | X | 4.3, 7.4 |
| Article 4 Actes juridiques sectoriels de l’Union (amendé en jan26) | ||
| Article 5 Harmonisation minimale | ||
| Article 6 Définitions (ajout en jan26) | ||
| CHAPITRE II CADRES COORDONNÉS EN MATIÈRE DE CYBERSÉCURITÉ | ||
| Article 7 Stratégie nationale en matière de cybersécurité (ajout en jan26) | ||
| Article 8 Autorités compétentes et points de contact uniques | ||
| Article 9 Cadres nationaux de gestion des crises cyber | ||
| Article 10 Centres de réponse aux incidents de sécurité informatique (CSIRT) | X | 4.2 |
| Article 11 Obligations, capacités techniques et tâches des CSIRT | ||
| Article 12 Divulgation coordonnée des vulnérabilités et base de données européenne des vulnérabilités | X | 4.2, A8.08 |
| Article 13 Coopération au niveau national | ||
| CHAPITRE III COOPÉRATION AU NIVEAU DE L’UNION ET AU NIVEAU INTERNATIONAL | ||
| Article 14 Groupe de coopération | ||
| Article 15 Réseau des CSIRT (ajout en jan26) | ||
| Article 16 Le réseau européen pour la préparation et la gestion des crises cyber (EU-CyCLONe) | ||
| Article 17 Coopération internationale | ||
| Article 18 Rapport sur l’état de la cybersécurité dans l’Union | ||
| Article 19 Évaluations par les pairs | ||
| CHAPITRE IV MESURES DE GESTION DES RISQUES EN MATIÈRE DE CYBERSÉCURITÉ ET OBLIGATIONS D’INFORMATION | ||
| Article 20 Gouvernance | X | 5.1, 5.3, A5.20 |
| X | 7.2, A6.03 | |
| Article 21 Mesures de gestion des risques en matière de cybersécurité (amendé et ajout en jan26) | X | 6.1.2, 6.1.3, 8.2, 8.3 6.1.2, 6.1.3, A5.24à28, A5.29, A5.19à21, A8.20à23, A8.25à31, A8.08, 9.3, 7.3/ A6.03, A5.29, A8.02à05/ A5.15à17, 7.4 , 7.1 6.1.2, 6.1.3, 10.2 |
| Article 22 Évaluations coordonnées au niveau de l’Union des risques pour la sécurité des chaînes d’approvisionnement critiques | ||
| Article 23 Obligations d’information (ajout en jan26) | X | A6.08 |
| Article 24 Recours aux schémas européens de certification de cybersécurité (ajout en jan26) | ||
| Article 25 Normalisation | X | A5.31 |
| CHAPITRE V COMPÉTENCE ET ENREGISTREMENT | ||
| Article 26 Compétence et territorialité (amendé et ajout en jan26) | ||
| Article 27 Registre des entités (amendé et suppression en jan26) | X | A5.05 |
| Article 28 Base des données d’enregistrement des noms de domaine | ||
| Article 29 Accords de partage d’informations en matière de cybersécurité | X | A5.06 , A5.05 |
| Article 30 Notification volontaire d’informations pertinentes | X | A6.08 |
| CHAPITRE VII SUPERVISION ET EXÉCUTION | ||
| Article 31 Aspects généraux concernant la supervision et l’exécution | ||
| Article 32 Mesures de supervision et d’exécution en ce qui concerne les entités essentielles | X | 9.1, 9.2, A8.34, 10.2, 5.1 |
| Article 33 Mesures de supervision et d’exécution en ce qui concerne les entités importantes | X | 9.1, 9.2, A8.34, 10.2 |
| Article 34 Conditions générales pour imposer des amendes administratives à des entités essentielles et importantes | ||
| Article 35 Infractions donnant lieu à une violation de données à caractère personnel | ||
| Article 36 Sanctions | ||
| Article 37 Assistance mutuelle & rôle d’assistance de ENISA (ajout en jan26) | ||
| CHAPITRE VIII ACTES DÉLÉGUÉS ET ACTES D’EXÉCUTION | ||
| Article 38 Exercice de la délégation | ||
| Article 39 Comité | ||
| CHAPITRE IX DISPOSITIONS FINALES | ||
| Article 40 Réexamen | ||
| Article 41 Transposition | ||
| Article 42 Modification du règlement (UE) | ||
| Article 43 Modification de la directive (UE) 2018/1972 | ||
| Article 44 Abrogation | ||
| Article 45 Entrée en vigueur | ||
| Article 46 Destinataires | ||
| ANNEXE I SECTEURS HAUTEMENT CRITIQUES | ||
| ANNEXE II AUTRES SECTEURS CRITIQUES |
Extrait uniquement. Pour accéder au tableau complet, entrez en contact (ici)