NIS2 et Assurance Cyber : Ce Qui Change pour les Entreprises

Qu'est-ce que la directive NIS2 ?

La directive NIS2 (UE 2022/2555) est la refonte de la premiere directive NIS de 2016. Elle elargit considerablement le perimetre des entites concernees et renforce les exigences de cybersecurite.

Objectif principal : harmoniser et renforcer le niveau de cybersecurite dans l'Union Europeenne face a l'augmentation des cybermenaces.

Qui est concerne par NIS2 ?

NIS2 elargit massivement le nombre d'entites concernees. En France, on estime que plus de 15 000 entreprises seront soumises a la directive, contre quelques centaines avec NIS1.

Les secteurs couverts

NIS2 distingue deux categories d'entites :

Entites essentielles (critiques) :

• Energie (electricite, gaz, petrole, hydrogene)
• Transports (aerien, ferroviaire, maritime, routier)
• Banques et infrastructures de marches financiers
• Sante (hopitaux, laboratoires, industrie pharmaceutique)
• Eau potable et eaux usees
• Infrastructure numerique (DNS, datacenters, cloud)
• Administration publique
• Espace

Entites importantes :

• Services postaux et courrier
• Gestion des dechets
• Fabrication de produits critiques (chimie, medical, electronique)
• Alimentation
• Fournisseurs numeriques (marketplaces, reseaux sociaux)
• Recherche

Les seuils de taille

Sont concernees les entreprises de ces secteurs depassant :

• Moyennes entreprises : 50 employes ou 10 M€ de CA
• Grandes entreprises : 250 employes ou 50 M€ de CA

Les nouvelles obligations NIS2

1. Gouvernance et responsabilite

NIS2 place la cybersecurite au niveau de la direction :

• Les dirigeants sont personnellement responsables de la conformite
• Obligation de formation cyber pour la direction
• Approbation des mesures de gestion des risques par la direction

2. Mesures de securite

Les entites doivent mettre en oeuvre des mesures de gestion des risques incluant :

• Politiques d'analyse des risques et securite des SI
• Gestion des incidents
• Continuite d'activite et gestion de crise
• Securite de la chaine d'approvisionnement
• Securite des ressources humaines
• Chiffrement et authentification forte (MFA)

3. Notification des incidents

Le regime de notification est renforce :

• Alerte precoce : 24 heures apres detection
• Notification complete : 72 heures
• Rapport final : 1 mois

4. Sanctions

Les amendes sont alignees sur le RGPD :

• Entites essentielles : jusqu'a 10 M€ ou 2% du CA mondial
• Entites importantes : jusqu'a 7 M€ ou 1,4% du CA mondial

Impact sur l'assurance cyber

Des exigences assureurs renforcees

Les assureurs cyber alignent leurs criteres de souscription sur NIS2 :

• Questionnaires plus detailles sur la conformite reglementaire
• Verification des mesures NIS2 lors de l'audit de souscription
• Exclusions potentielles en cas de non-conformite flagrante

La conformite comme levier tarifaire

Etre conforme NIS2 devient un avantage pour votre assurance :

• Primes reduites pour les entreprises conformes
• Couvertures plus larges disponibles
• Processus de souscription simplifie

Comment se preparer ?

1. Verifiez si vous etes concerne

Analysez votre activite au regard des criteres NIS2 : secteur et taille. En cas de doute, consultez un expert.

2. Realisez un gap analysis

Evaluez votre niveau actuel par rapport aux exigences NIS2. Identifiez les ecarts prioritaires a combler.

3. Impliquez la direction

NIS2 impose la responsabilite des dirigeants. Assurez-vous que votre COMEX est informe et implique.

4. Mettez a jour votre assurance cyber

Verifiez que votre contrat couvre les nouveaux risques et que vos mesures de securite sont alignees avec les attentes des assureurs.

MTP vous accompagne

En tant que courtier specialise cybersecurite, My Trust Partner vous accompagne dans votre mise en conformite NIS2 ET dans l'optimisation de votre assurance cyber :

• Diagnostic NIS2 pour evaluer votre niveau de conformite
• Feuille de route priorisee pour atteindre la conformite
• Placement assurance valorisant votre niveau de maturite