Logistique circulaire, le réemploi des emballages – décret 2022 507
9 janvier 2025
Agrégation et interopérabilité en Supply Chain
23 janvier 2025Les objectifs et la portée de la directive NIS2
La directive NIS2 a pour ambition de renforcer le niveau de cybersécurité des tissus économiques et administratifs en Europe. Elle introduit un socle commun de mesures juridiques, techniques et organisationnelles pour protéger les réseaux et systèmes d’information critiques. En outre, elle renforce et étend les dispositions de la première directive NIS (Network and Information Security) adoptée en 2016.
L’objectif est de faire face à une menace cyber dont la pression est durablement croissante et de garantir une résilience accrue face aux incidents.
Un cadre élargi : plus de 10 000 entités concernées
Contrairement à la première directive NIS, NIS2 s’applique à une gamme élargie d’acteurs avec 18 secteurs d’activité couverts, incluant désormais :
- Entités essentielles (EE) comme l’énergie, les infrastructures numériques, les transports, et l’eau potable.
- Entités importantes (EI) telles que la recherche, la gestion des déchets, et les services postaux.
Les entreprises sont catégorisées en fonction de leur taille, de leur chiffre d’affaires et de leur criticité stratégique. Toute organisation employant plus de 50 salariés ou générant un chiffre d’affaires annuel supérieur à 10 millions d’euros est concernée si elle opère dans les secteurs listés.
Nouvelles obligations précises pour les entités
Les entreprises concernées doivent respecter des exigences strictes, parmi lesquelles :
- Déclaration des incidents : toute attaque majeure doit être signalée à l’ANSSI sous 24 heures.
- Gestion proactive des risques : mise en place de mesures adaptées pour renforcer la sécurité des réseaux et systèmes présente sur l’infrastructure de l’entreprise.
- Transparence et supervision : les entités doivent fournir des informations régulières à l’ANSSI et peuvent être soumises à des contrôles.
En cas de manquements, les sanctions financières peuvent atteindre 2 % du chiffre d’affaires mondial pour les entités essentielles et 1,4 % pour les entités importantes.
Calendrier de mise en œuvre de la NIS2
Le déploiement de la directive suit un calendrier structuré
- 27 décembre 2022 : Publication au Journal Officiel de l’UE.
- 17 octobre 2024 : Date limite de transposition dans les législations nationales.
- 17 janvier 2025 : Notification des règles adoptées à la Commission européenne.
- 17 avril 2025 : Identification des entités essentielles et importantes par chaque État membre.
En ce début d’année 2025, il est donc utile de se pencher sur ce sujet plutôt chauf bouillant !
Pourquoi la supply chain est-elle concernée ?
La directive NIS2 accorde une attention particulière aux flux d’information. De fait, la supply chain est concernée. Rappelons que parmi les 3 flux que pilote la supply chain (information, physique, financier), le pilier fondamental est celui de l’information.
- Interconnexion des systèmes : la supply chain repose sur des logiciels complexes (ERP, TMS, WMS) pour gérer les stocks, les expéditions et les relations partenaires.
- Attaques ciblées : les données sensibles circulant dans les chaînes logistiques (prévisions de demande, informations de transport, données produits, informations consommateurs, sites classés ICPE) sont des cibles privilégiées des cybercriminels.
- Impact systémique : une défaillance cyber au sein d’un maillon peut avoir des répercussions en cascade sur l’ensemble de la chaîne. Il est capital de consolider la résilience de ses partenaires sur ce sujet sensible.
Comment s’y préparer ?
Solutions proposées par l’ANSSI
L’ANSSI accompagne les entreprises via des outils tels que MonEspaceNIS2, une plateforme numérique dédiée. Elle permet notamment de :
- Déterminer si une entité est assujettie à la directive.
- Se déclarer auprès des autorités.
- Accéder à des ressources pour renforcer la cybersécurité.
En conclusion, la directive NIS2 constitue une avancée majeure pour sécuriser les infrastructures critiques et préserver la compétitivité des entreprises européennes. Pour la supply chain, souvent négligée dans les stratégies de cybersécurité, elle représente une nouvelle opportunité de consolider son rôle stratégique dans un monde ultra connecté et inter-dépendant. Et le risque incombe bien souvent aux opérations supply chain !
Et si vous voulez progresser à titre individuel ou faire monter en compétences vos collaborateurs, Blogistics vous recommande l’excellent MOOC de l’ANSSI sur la sécurité numérique. Sérieux et solide, il permet d’avoir un aperçu complet sur les risques majeurs qui nous entourent sur ce sujet de la cybersécurité.
Un must-have pour tous les acteurs de la supply chain qui travaillent de près ou de loin avec un logiciel métier.
Par Pierre
