NIS2 : tout ce que vous devez savoir sur la loi cybersécurité et l'achat de logiciels
NIS2 est la plus grande loi européenne sur la cybersécurité depuis des années. Pour les organisations des secteurs critiques, de nombreux changements interviennent, notamment en matière d'achat de logiciels et de gestion des fournisseurs. Voici tout ce que vous devez savoir.
- 15 janvier 2025
- 5 min
- NIS2 – Directive sur la cybersécurité
La directive NIS2 est la plus grande loi européenne en matière de cybersécurité depuis des années. Elle a un large champ d'application, sa mise en œuvre est stricte et elle concerne directement toute personne responsable de l'achat de logiciels dans une organisation. Voici ce que vous devez savoir.
Qu'est-ce que NIS2 ?
NIS2 signifie Network and Information Security Directive 2, successeur de la directive NIS originale de 2016. Cette directive oblige les organisations des secteurs critiques à renforcer structurellement leur résilience numérique. NIS2 sera applicable à l’échelle européenne à partir du 17 octobre 2024. La transposition néerlandaise via la loi sur la cybersécurité est prévue pour le deuxième trimestre 2026.
À qui s’applique NIS2 ?
NIS2 concerne les organisations de 18 secteurs critiques, réparties en entités essentielles et importantes. On pense notamment à : l’énergie, le transport, la santé, l’eau, les infrastructures numériques, les services financiers, les administrations publiques, et d'autres. Mais les fournisseurs des organisations de ces secteurs peuvent également être concernés indirectement via l'obligation de gestion de la chaîne d’approvisionnement.
Qu’est-ce qui change par rapport à NIS1 ?
Les principaux changements :
Portée élargie : beaucoup plus de secteurs et d’organisations sont désormais soumis à la directive
Responsabilité personnelle : les dirigeants sont responsables du respect de la loi et peuvent être tenus personnellement responsables
Amendes plus élevées : jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires mondial annuel pour les entités essentielles
Obligation de gestion de la chaîne : les organisations doivent aussi contrôler la sécurité de leurs fournisseurs
Obligation de notification : les incidents doivent être signalés au CSIRT dans les 24 heures
Qu’est-ce que NIS2 signifie pour l’achat de logiciels ?
L’obligation de gestion de la chaîne est l'impact le plus direct sur l’achat de logiciels. Les organisations doivent :
Maintenir un inventaire à jour de tous les fournisseurs informatiques et des logiciels
Établir des accords contractuels de sécurité avec tous les fournisseurs concernés
Évaluer régulièrement la sécurité des fournisseurs
Définir des procédures d’escalade d’incidents avec les fournisseurs de logiciels critiques
Sans un inventaire structuré des logiciels, la conformité à NIS2 est impossible. SoftVaro aide les organisations à créer cet inventaire comme point de départ pour la conformité.
Questions fréquentes
Les questions les plus posées à propos de ce sujet.
Quel lien y a-t-il entre NIS2 et l’achat de logiciels ?
NIS2 oblige les organisations à tenir un inventaire à jour de tous les logiciels et fournisseurs informatiques, incluant des accords contractuels de sécurité. Sans cet inventaire, la conformité n’est pas assurée.
Quand NIS2 entrera-t-elle en vigueur aux Pays-Bas ?
La loi sur la cybersécurité (transposition néerlandaise de NIS2) est attendue pour le deuxième trimestre 2026. Les organisations doivent être conformes dès l’entrée en vigueur de la loi.
Quelles sont les amendes en cas de non-respect de NIS2 ?
Les entités essentielles risquent des amendes pouvant atteindre 10 millions d’euros ou 2 % du chiffre d’affaires mondial annuel. Les entités importantes peuvent encourir jusqu’à 7 millions d’euros ou 1,4 % du chiffre d’affaires annuel. Les dirigeants peuvent être tenus personnellement responsables.
Prêt à économiser sur les logiciels ?
SoftVaro négocie pour vous les meilleures offres auprès de plus de 4 000 fournisseurs. Indépendant, transparent, en moins de 24 heures.