NIS.2 fait suite à la directive NIS.1. La directive NIS.1, pour « Sécurité des réseaux et de l’information » (Network and Information System Security en anglais) a été adoptée en 2016 et transposée en France le 26 février 2018.

C’est l’ANSSI qui a pour mission en France d’accompagner les Opérateurs de services essentiels (OSE) dans la sécurisation de leurs systèmes d’information critiques et de contrôler, en tant qu’autorité nationale, le respect des règles de sécurité.

L’ANSSI a la même mission dans le cadre de la directive NIS.2. Celle-ci change de paradigme en raison de la présence d’acteurs malveillants toujours plus performants et mieux outillés, touchant de plus en plus d’entités trop souvent mal protégées. Les organismes de services essentiels disparaissent pour faire place aux « Entités essentielles et importantes ». Les règles de sécurité applicables vont s’étendre aux entreprises qui font plus de 10 millions de CA ou qui ont plus de 50 salariés avec un niveau d’exigences proportionnel à la taille de l’entreprise.

La directive NIS.2 at été adoptée en décembre 2022. La France doit avoir terminé sa transposition au plus tard en octobre 2024. Les entités concernées (dont les laboratoires de biologie médicale qui disposent des données de santé personnelles de leurs patients) devront être conformes à compter de sa mise en application. Il est recommandé aux laboratoires d’entamer dès maintenant cette mise en conformité qui s’appuie sur le tryptique suivant :

• notification des incidents de sécurité (déjà opposables au laboratoire);
• mise en œuvre d’un PCA/PRA ;
• mise en oeuvre de règles de sécurité de base telles que l’authentification à plusieurs facteurs, le cloisonnement réseau, les sondes de détection d’intrusion, la formation des utilisateurs.

En attendant d’avoir un cadre officiel concernant les obligations que devront respecter les LBM (c’est dans ce cadre que le SDBIO a été consulté), nous vous incitons à vous acculturer à la directive NIS.2 grâce au site d’information mis en place par l’ANSSI : https://monespacenis2.cyber.gouv.fr/

Comme l’explique l’ANSSI, MonEspaceNIS2 a « vocation à accompagner les organisations dans leur compréhension et leur mise en conformité avec la directive NIS.2 – in fine pour être mieux protégé face à la menace cyber ».

Le site en est au tout début de son développement. « Vous accédez actuellement à sa première version d’un test permettant à une entité d’évaluer si elle est concernée par la directive NIS.2 ou non, précise l'ANSSI. Cette évaluation s’appuie sur les critères issus de la directive et est amenée à évoluer pour couvrir les différents cas de figure aussi précisément que possible, en intégrant les retours collectés lors des consultations et en cohérence avec les travaux de transposition. »

« Le site renvoie également à des éléments de présentation de NIS.2 et à une première FAQ qui va s’enrichir progressivement, indique également l'ANSSI. Il permet aussi aux acteurs intéressés de communiquer une adresse pour recevoir par courriel des informations sur l’évolution du cadre réglementaire et les ressources disponibles pour accompagner ces évolutions. »