Le nombre de cybermenaces a considérablement augmenté dans le monde entier, et plus particulièrement en Europe. C'est pourquoi la directive sur les réseaux et les systèmes d'information (NIS) a été publiée en juillet 2016, ouvrant la voie à l'amélioration du niveau général de cybersécurité dans l'Union européenne (UE).


S'appuyant sur cette toute première législation européenne sur la cybersécurité, la directive NIS 2 est entrée en vigueur en décembre 2022 pour renforcer la cybersécurité au sein de l'UE, en proposant un ensemble complet de mesures dont l'adoption par les États membres de l'UE est obligatoire d'ici le 17 octobre 2024.


Pour garantir la conformité et éviter des amendes inutiles, il est temps pour les organisations de se préparer aux mesures NIS 2. Voici tout ce qu'elles doivent savoir.

 

Qu'est-ce que la Directive NIS 2 ?

Il s'agit de la législation européenne la plus complète en matière de cybersécurité à ce jour. Elle vise à établir des lignes directrices pour les organisations fournissant des services essentiels et importants, afin qu'elles sachent comment réagir en cas de cybermenace. Elle a également pour objectif d'améliorer la collaboration entre les États membres de l'UE en matière de cybersécurité.

 

Dans le cadre de la Directive NIS 2, les organisations doivent mettre en œuvre, au minimum, les mesures suivantes :

  • Politiques d'analyse des risques et de sécurité des systèmes d'information.
  • Gestion des incidents.
  • Continuité des activités.
  • Sécurité de la chaîne d'approvisionnement.
  • Pratiques de base en matière d'hygiène cybernétique et formation en cybersécurité.
  • Procédures relatives à l'utilisation de la cryptographie et du chiffrement.
  • Sécurité des ressources humaines, politiques de contrôle d'accès et gestion des actifs.
  • Utilisation de l'authentification multi-facteurs (AMF), de solutions d'authentification continue et de systèmes de communication sécurisés.
  • Parmi d'autres.

 

Quels secteurs sont concernés ?

Environ 160 000 entreprises réparties dans 18 secteurs devront se conformer à la Directive NIS 2, essentiellement toutes les entreprises de taille moyenne ou grande, avec 50 employés ou plus et un chiffre d'affaires supérieur à 10 millions d'euros. Cependant, certaines petites organisations peuvent également être incluses, quelle que soit leur taille, si les États membres les identifient comme des acteurs clés de notre société.

 

Ces 18 secteurs sont répartis en deux catégories :

 

Secteurs essentielles de la NIS 2
  • Énergie (y compris l'électricité, le pétrole, le gaz, l'hydrogène)
  • Transport (y compris les exploitants aériens, ferroviaires, maritimes et routiers)
  • Banque
  • Infrastructures des marchés financiers
  • Santé
  • Eau potable
  • Eaux usées
  • Infrastructure numérique Technologies de l'information et de la communication (TIC) Gestion de services (Business-to-Business - B2B)
  • Administration publique
  • Espace

Secteurs importants de la NIS 2
  • Services postaux et de messagerie
  • Gestion des déchets
  • Fabrication, production et distribution de produits chimiques
  • Production, transformation et distribution alimentaire
  • Fabrication (y compris les dispositifs médicaux, les ordinateurs, l'électronique, les machines, les véhicules automobiles, entre autres)
  • Fournisseurs numériques (y compris les plateformes sociales, les moteurs de recherche et les places de marché en ligne)
  • Organisations de recherche

 

Les entités des deux catégories devront se conformer, mais la différence réside dans la rigueur de leur supervision et dans les sanctions en cas de non-conformité :

  • Les entités essentielles peuvent s'attendre à des amendes pouvant atteindre 10 millions d'euros ou au moins 2 % du chiffre d'affaires annuel mondial total.
  • Les entités importantes peuvent s'attendre à des amendes pouvant atteindre 7 millions d'euros ou au moins 1,4 % du chiffre d'affaires annuel mondial total.

 

Prochaines étapes et échéances de la NIS 2 

Afin de se préparer à la Directive NIS 2, les États membres et les entreprises doivent être conscients de ce qui va se passer et quand. Voici quelques-unes des dates les plus importantes à garder à l'esprit :

 

  • D'ici le 17 octobre 2024 
    Les États membres doivent adopter les mesures nécessaires pour se conformer à la Directive NIS 2. Ces mesures doivent être appliquées à partir du 18 octobre 2024.

  • D'ici le 17 avril 2025 
    Les États membres doivent établir une liste des entités essentielles et importantes. Cette liste doit être mise à jour régulièrement.

  • D'ici le 17 octobre 2027 
    La Commission européenne doit examiner le fonctionnement de la Directive NIS 2 et rendre compte au Parlement européen et au Conseil. Cette évaluation doit être effectuée tous les 36 mois par la suite.

 

Comment les entreprises peuvent-elles se préparer à la NIS 2?

Étant donné la date limite du 17 octobre 2024, il est conseillé d'agir dès maintenant. Il peut y avoir des obstacles sur la route, donc une planification préalable vous maintiendra sur la bonne voie.

Le côté positif est le suivant : si votre organisation est déjà certifiée ISO 27001, elle est déjà significativement plus proche de la conformité à la NIS 2. En ce qui concerne ce qui manque, Alter Solutions peut vous aider à identifier les services et processus critiques de votre entreprise, garantissant une mise en œuvre correcte de toutes les mesures de la  NIS 2. Comment ?

 

  • Évaluation et diagnostic 
    Nous commençons par identifier les services et processus essentiels de votre entreprise, afin de comprendre comment la Directive NIS 2 les impactera. Nous fournissons un rapport complet et définissons une feuille de route avec des mesures spécifiques pour garantir la conformité à la NIS 2.

  • Mise en œuvre des mesures nécessaires 
    Nous pouvons vous aider à définir des politiques de gestion des risques, un plan de continuité d'activité, des canaux de communication sécurisés, une formation en cybersécurité, entre autres choses qui pourraient nécessiter une attention particulière. Nous lançons la mise en œuvre, en tenant compte du niveau de sécurité spécifique de votre entreprise.
  • Surveillance régulière 
    À ce stade, votre entreprise est déjà conforme à la NIS 2. Néanmoins, il est important de vérifier régulièrement l'efficacité de toutes les mesures mises en œuvre et d'ajuster en conséquence. Il s'agit d'une tâche continue pour laquelle nous fournissons tout le soutien nécessaire.

 

Découvrez-en davantage sur les services d'Alter Solutions tels que le management de la cybersécurité, l'architecture et l'intégration de solutions, l'audit et le pentest, ainsi que la cyberdéfense.
Partager cet article