Tout ce qu’il faut savoir sur la Directive NIS2
NIS 2 (Network and Information Security) signifie la Directive sur la Sécurité des Réseaux et des Systèmes d’Informations.
La Directive NIS 2, adoptée en décembre 2022, fait suite à la directive NIS1 adoptée 6 années plus tôt par l’Union Européenne puis transposée en France en 2018. En cherchant à harmoniser les pratiques de cybersécurité en Europe, cette directive étend son champ d’application à un plus grand nombre d’entités, passant de 19 secteurs avec NIS1 à 35 secteurs avec NIS2. L’intégration de cette directive dans les droits nationaux des États membres, prévue d’ici octobre 2024, représente à la fois un défi et une opportunité. Elle appelle à une action pour renforcer la sécurité des infrastructures numériques en Europe et promouvoir une culture robuste de cybersécurité.
Elle précise davantage l’obligation de notifier les autorités compétentes en cas d’incident de sécurité et remplace le statut d’OSE (Opérateur de Service Essentiel) par deux nouvelles catégories d’organisations : les entités essentielles (EE) et les entités importantes (EI). Une autre nouveauté majeure de NIS 2 est l’inclusion des entreprises de sous-traitance et, dans certains cas, des collectivités territoriales parmi les acteurs concernés.
Etes-vous concerné(e) ?
La directive NIS2 cible les entreprises privées ou publiques comptant plus de 50 salariés et réalisant un chiffre d’affaires de plus d’un million d’euros. En plus de ceux concernés par la directive NIS1 (le transport, la finance, l’énergie, l’eau, l’aérospatiale, la santé, la gouvernance publique et l’infrastructure numérique), plusieurs secteurs supplémentaires sont rajoutés, surtout des secteurs essentiels au quotidien des citoyens. Parmi eux, les services postaux et d’expédition, la gestion des déchets, la fabrication, la production et la distribution de produits chimiques, l’industrie, l’agroalimentaire et les fournisseurs de services numériques. Cependant, cela peut concerner aussi les secteurs publiques comme les collectivités territoriales.
Si vous voulez savoir si vous êtes concerné(e) ou non, vous pouvez faire le test sur le site : https://monespacenis2.cyber.gouv.fr/simulateur
Comment être conforme ?
Pour se conformer à la directive NIS2, les entreprises doivent prendre diverses mesures pour renforcer leur cybersécurité et gérer efficacement les risques. Tout d’abord, elles doivent effectuer une évaluation des risques pour identifier les menaces potentielles et les vulnérabilités, et mettre en place des mesures de sécurité proportionnelles aux risques identifiés. Ensuite, elles doivent adopter des mesures techniques et organisationnelles, telles que des politiques de sécurité informatique, des procédures de gestion des incidents et des contrôles d’accès, pour gérer les risques de sécurité des réseaux et des systèmes d’information.
La surveillance et la détection des incidents de sécurité sont également cruciales. Les entreprises doivent établir des moyens de surveillance et de détection des incidents en utilisant des outils adaptés pour repérer les anomalies et les activités suspectes. En cas d’incidents, elles doivent développer et maintenir un plan de gestion, former le personnel à réagir en cas de crise, et effectuer des exercices réguliers pour tester les procédures de réponse.
En outre, les entreprises doivent mettre en place des procédures pour notifier rapidement les autorités compétentes en cas d’incidents de cybersécurité significatifs, en respectant les délais de notification stipulés dans la directive (généralement entre 24 et 72 heures après la détection de l’incident). La coopération et l’échange d’informations avec les autorités nationales, les centres de réponse aux incidents de sécurité informatique (CSIRT) et d’autres entités sont également essentiels pour partager des informations sur les menaces et les incidents, et participer aux initiatives de coopération européenne pour améliorer la cybersécurité collective.
La formation et la sensibilisation du personnel à la sécurité informatique et à la gestion des risques sont également importantes. Les collaborateurs doivent être régulièrement formés aux bonnes pratiques de cybersécurité et aux politiques de l’entreprise. De plus, des audits réguliers doivent être effectués pour vérifier la conformité aux exigences de la directive NIS2, documenter toutes les mesures de sécurité mises en place et être prêts à fournir des preuves de conformité en cas d’inspection par les autorités.
Enfin, la gestion des fournisseurs et des partenaires externes est un aspect crucial. Les entreprises doivent évaluer et gérer les risques liés aux fournisseurs et s’assurer que ces derniers respectent également les normes de sécurité et les exigences de la directive NIS2.
En suivant ces étapes, les entreprises peuvent améliorer leur anticipation face aux menaces de cybersécurité et assurer leur conformité à la directive NIS2.
Qu’avez-vous à gagner ?
Cette nouvelle directive offre aux entreprises l’opportunité de revoir leur approche de la cybersécurité, en passant d’une stratégie réactive à une gestion proactive des risques. Elle permet également aux entreprises d’évaluer leurs capacités et leurs opérations en fonction des exigences renforcées en matière de cybersécurité.
L’extension du nombre d’entreprises couvertes par NIS2 permet aux organisations de s’assurer que leurs partenaires et fournisseurs de taille moyenne prennent les mesures nécessaires pour se protéger contre les cybermenaces. Cela revêt une importance particulière à une époque où la chaîne d’approvisionnement est une cible privilégiée pour les cybercriminels.
Pour les organisations qui n’ont pas encore établi de stratégie de sécurité adéquate avec les outils appropriés, il est crucial de prendre conscience de l’importance d’évaluer et de gérer les cyber risques. Les menaces, qu’elles soient externes ou internes, peuvent sérieusement compromettre une entreprise, affectant sa stabilité financière et sa réputation. Ainsi, la mise en place de contrôles appropriés présente des avantages significatifs qui dépassent largement le cadre de la simple conformité réglementaire.
Chaque organisation de taille moyenne ou grande n’est plus seulement responsable de sa propre sécurité, mais aussi de celle de tous ses collaborateurs, ses partenaires et ses clients. NIS2 représente ainsi une opportunité d’adopter une posture de sécurité optimale pour protéger les données, les identités et l’infrastructure.
Que risquez vous ?
Des conséquences non financières
- Des exigences strictes en matière d’audit de sécurité
- Des obligations de mise en conformité
- Des directives strictes pour une mise en œuvre immédiate
- Des alertes envoyées aux clients pour les prévenir des risques de l’organisation
Des conséquences financières
- Pour les Entités Essentielles (le transport, la finance, l’énergie, l’eau, l’aérospatiale, la santé, la gouvernance publique et l’infrastructure numérique) : Les amendes peuvent aller jusqu’à 10 millions d’euros ou 2% du chiffre d’affaires annuel global. Le montant le plus élevé étant retenu.
- Pour les Entités Importantes (la production alimentaire, les services numériques, les produits chimiques, les services postaux, la gestion des déchets, la recherche, la fabrication/production : Les amendes peuvent aller jusqu’à 7 millions d’euros ou 1,4% du chiffre d’affaires annuel global. Le montant le plus élevé étant retenu.