NIS2
Network and Information Security (NIS2) Directive
Êtes-vous prêt à élever votre niveau de cybersécurité?
Quel est l'objet de la directive NIS 2 ?
Directive NIS2 pour plus de cybersécurité
La NIS 2, une directive au sein de l'Union Européenne, vise à établir une norme de cybersécurité solide et uniforme parmi les États membres de l'UE. Ses objectifs principaux sont de définir des mesures fondamentales de gestion des risques de cybersécurité et des obligations de rapport applicables aux secteurs critiques, éliminant ainsi les disparités dans les exigences de cybersécurité et leur mise en œuvre. Les organisations tombant sous le coup de la NIS 2 devraient commencer les préparatifs de manière anticipée, étant donné que certaines exigences essentielles pourraient nécessiter un temps considérable pour être mises en œuvre.
Pour se conformer à la directive NIS 2, les États membres de l'UE sont tenus d'adopter et de publier les mesures requises d'ici le 17 octobre 2024.
Pourquoi NIS2?
Une meilleure version de NIS
La révision de la directive NIS a été motivée par sa mise en œuvre inégale dans les États membres, ce qui a entraîné une approche fragmentée de la cybersécurité. Alors que certaines entités étaient classées comme essentielles dans certains pays, elles n'étaient pas reconnues comme telles dans d'autres. Pour remédier à ces incohérences, la Commission européenne a mis à jour la directive en introduisant la directive NIS2 en 2021. Cette révision visait à normaliser l'identification des organisations essentielles et à clarifier leurs obligations.
La directive NIS2 élargit considérablement le champ d'application de son prédécesseur, en multipliant par dix le nombre d'entités concernées. Elle va au-delà des secteurs initiaux tels que l'approvisionnement en eau, l'énergie, l'infrastructure numérique, la banque, la santé et les transports pour englober des domaines supplémentaires tels que l'administration publique, les services numériques, l'espace, la recherche, les services postaux, la gestion des déchets, l'alimentation, l'industrie manufacturière et les produits chimiques.
En outre, la NIS2 renforce les mesures de cybersécurité en imposant le signalement précoce des incidents, en élargissant les stratégies de gestion des risques et en établissant des responsabilités claires en matière de cybersécurité au niveau de l'exécutif. Cette approche globale garantit non seulement une application plus uniforme dans l'ensemble de l'UE, mais renforce également la position globale en matière de cybersécurité d'un plus grand nombre de secteurs, ce qui fait de la NIS2 une version plus robuste de la directive initiale.
Quelles sont les entités qui relèvent du NIS2 ?
La directive est applicable aux organisations opérant dans les secteurs listés ci-dessous, à condition qu'elles disposent d'un effectif minimum de 50 employés et/ou d'un chiffre d'affaires annuel (et/ou d'un total de bilan annuel) supérieur à 10 millions d'euros. Néanmoins, il existe certaines exceptions où la taille de l'organisation n'a pas d'importance. De plus, les organisations soumises à la directive CER sont automatiquement incluses sous la directive NIS 2. Les entités couvertes par cette directive sont classées en deux groupes principaux :
- Secteurs critiques : Il s'agit d'organisations impliquées dans les infrastructures des marchés financiers, l'approvisionnement en eau, l'énergie, les infrastructures numériques, les transports (y compris aériens, ferroviaires, maritimes et routiers), les soins de santé, l'administration publique, l'espace, les services de distribution d'eau potable et de traitement des eaux usées, la banque et la gestion des services TIC (y compris les fournisseurs de services gérés et les fournisseurs de services de sécurité gérés).
- Autres secteurs critiques : Cette catégorie comprend les entités engagées dans les services postaux et de messagerie, la gestion des déchets, le secteur chimique, l'industrie alimentaire, la fabrication de dispositifs médicaux, d'ordinateurs et d'électroniques, de machines et d'équipements, de véhicules motorisés, de remorques, semi-remorques et autres équipements de transport, les fournisseurs de services numériques, et les organisations de recherche.
Les organisations relevant du champ d'application de la directive NIS 2 sont considérées a minima comme des entités importantes. Typiquement, les organisations comptant au moins 250 employés ou un chiffre d'affaires annuel supérieur à 50 millions d'euros et un total de bilan supérieur à 43 millions d'euros sont identifiées comme des entités essentielles. Les entités essentielles sont soumises à une surveillance et à des mesures réglementaires plus strictes par rapport aux entités importantes.
Quelles sont les exigences de la directive NIS2 ?
Un changement de paradigme dans la cybersécurité et la résilience opérationnelle
La directive NIS 2 comprend quatre catégories, intégrant un total de 23 mesures, toutes découlant des thèmes du LPM.
Pour se conformer à la Directive NIS, les Opérateurs de Services Essentiels (OES) et les Fournisseurs de Services Numériques (DSPs) doivent mettre en œuvre des mesures de sécurité adéquates et informer les Autorités Nationales Compétentes (ANC) ou les Équipes de Réponse aux Incidents de Sécurité Informatique (CSIRTs) des incidents provoquant une perturbation significative. Ainsi, pour améliorer la sécurité des réseaux et des systèmes d'information, la Directive NIS établit un cadre complet qui comprend : la gouvernance au niveau des États membres et leur coopération mutuelle, les obligations de sécurité pour les OES et les DSPs, les évaluations d'impact en utilisant des critères définis, et l'exigence pour les OES et les DSPs de rapporter les incidents aux ANC ou CSIRTs pertinents.
Exigences du NIS2 | 10 mesures minimales à prendre
En plus des quatre domaines principaux de exigences, la NIS2 impose que les entités essentielles et importantes mettent en œuvre des mesures de sécurité de base pour faire face à des formes spécifiques de cybermenaces probables. Celles-ci incluent :
- L'évaluation des risques et les politiques de sécurité pour les systèmes d'information
- Les politiques et procédures d'évaluation de l'efficacité des mesures de sécurité.
- Les politiques et procédures pour l'utilisation de la cryptographie et, le cas échéant, le chiffrement.
- Un plan de traitement des incidents de sécurité
- La sécurité autour de l'acquisition de systèmes ainsi que du développement et de l'exploitation des systèmes. Cela signifie avoir des politiques pour la gestion et le signalement des vulnérabilités.
- La formation à la cybersécurité et la pratique de l'hygiène informatique de base.
- Les procédures de sécurité pour les employés ayant accès à des données sensibles ou importantes, y compris les politiques d'accès aux données. Les organisations concernées doivent également avoir une vue d'ensemble de tous les actifs pertinents et s'assurer qu'ils sont correctement utilisés et manipulés.
- Un plan de gestion des opérations de l'entreprise pendant et après un incident de sécurité. Cela signifie que les sauvegardes doivent être à jour. Il faut également prévoir un plan pour garantir l'accès aux systèmes informatiques et à leurs fonctions d'exploitation pendant et après un incident de sécurité.
- L'utilisation de l'authentification multifactorielle,et le cas échéant, de solutions d'authentification continue, de chiffrage de la voix, de la vidéo et du texte, ainsi que des communications d'urgence internes.
- Le renforcement de la sécurité dans les chaînes d'approvisionnement et les interactions entre l'entreprise et ses fournisseurs directs. Il est impératif pour les entreprises de sélectionner des mesures de sécurité spécifiques, adaptées aux faiblesses identifiées chez chaque fournisseur direct. Par la suite, elles doivent procéder à une évaluation du niveau de sécurité de l'ensemble de leurs fournisseurs.
À quoi ressemblent les amendes ?
La NIS1 imposait des sanctions aux Opérateurs de Services Essentiels (OES) et aux Fournisseurs de Services Numériques (DSPs) pour non-respect de ses réglementations. La NIS2, cependant, augmente la sévérité des pénalités pour non-conformité, introduisant des amendes potentielles jusqu'à 10% du chiffre d'affaires annuel d'une entité.
Plus spécifiquement, pour les entités essentielles, la NIS2 autorise des amendes administratives pouvant atteindre 10 000 000 € ou un minimum de 2 % du chiffre d'affaires mondial total de l'entité de l'exercice financier précédent, selon le montant le plus élevé.
Pour les entités importantes, la directive fixe des amendes jusqu'à 7 000 000 € ou au moins 1,4 % du chiffre d'affaires mondial total de l'entité de l'exercice fiscal précédent, en appliquant à nouveau le montant le plus élevé.
De plus, la NIS2 met un accent significatif sur la responsabilité de la direction générale en matière de cybersécurité. Si la direction échoue à mettre en œuvre des mesures de sécurité adéquates, elle peut être tenue personnellement responsable. Cela inclut l'obligation de divulguer publiquement la violation, en spécifiant les individus responsables et en détaillant la nature de l'incident. Dans des situations extrêmes, les membres de la direction pourraient faire face à des disqualifications temporaires de leurs fonctions.
Qu'est-ce que Stroople peut faire pour vous?
Préparez-vous dès aujourd'hui au NIS2 et assurez votre résilience opérationnelle numérique de demain
Stroople est prêt à aider votre entreprise à se préparer pour la NIS2. Que vous ayez besoin d'une analyse des écarts pour vous conformer à la législation, d'une évaluation des risques ou de la mise en œuvre de systèmes tels que le modèle Zero Trust, les experts en cybersécurité de Stroople peuvent vous aider.
NIS2
Notre approche
Dans un paysage en évolution constante, les organisations doivent développer leurs capacités à se préparer et à naviguer adroitement et efficacement à travers les crises cybernétiques. Selon le niveau de maturité de votre organisation et les capacités que vous souhaitez atteindre, les activités suivantes se dégagent comme domaines clés sur lesquels se concentrer pour protéger vos infrastructures critiques et assurer votre adhésion à la Directive NIS2.
Stroople possesses the expertise and resources needed to guide you through your compliance journey. Our holistic approach includes the following steps:
-
Gap Analysis: Nous évaluons la position actuelle de votre organisation par rapport aux exigences de la NIS2, en identifiant les vulnérabilités et les lacunes en matière de conformité.
-
Stratégie de cybersécurité et cadre de gouvernance : Nous formulons une stratégie complète qui aligne vos efforts de cybersécurité avec vos objectifs commerciaux, soutenue par un cadre de gouvernance qui clarifie les rôles et établit des procédures de gestion de crise ou de réponse à incidents.
-
Gestion de la sécurité de l'information : Nous mettons en œuvre des pratiques de sécurité strictes englobant la transmission de données, le chiffrement, la gestion des accès, ainsi que des stratégies pour le signalement et la réponse aux incidents.
-
Renforcement de la sécurité de la chaîne d'approvisionnement : Nous renforçons les protocoles de sécurité pour vos partenaires et fournisseurs avec des normes de conformité rigoureuses, des évaluations régulières et des pratiques sécurisées dans l'acquisition et le développement des technologies.
-
Tests, évaluation et amélioration : Nous veillons à l'amélioration continue de vos systèmes par le biais de contrôles d'efficacité, de tests périodiques et d'une mise à niveau proactive des protocoles de sécurité afin de maintenir la conformité et les mesures de sauvegarde.