Guide complet sur la directive NIS2 : Votre entreprise est-elle concernée ? Comment vous mettre en conformité ?
La Directive révisée sur la sécurité des réseaux et des systèmes d’information, mieux connue sous l’acronyme NIS2, est au cœur de l’actualité ces derniers temps. En novembre 2022, l’Union européenne a publié la NIS2 au Journal Officiel. Toutes les entreprises des États membres doivent l’adopter et se mettre en conformité d’ici le 17 octobre 2024.
Qu’est-ce que cela signifie ? Quel est l’impact de la NIS2 sur les entreprises ? Comment se mettre en conformité ? Stefanie Hach, Responsable commerciale et marketing chez F24 Luxembourg et experte de la NIS2 répond à toutes ces questions et vous fournit des conseils.
Sommaire :
– Qu’est-ce que la directive NIS2 ?
– Pourquoi la directive NIS2 est-elle importante ?
– Quel est impact sur les entreprises ?
– Comment les entreprises peuvent-elles se mettre en conformité avec la directive NIS2 d’ici 2024 ?
Qu’est-ce que la directive NIS2 ?
La Directive sur la sécurité des réseaux (NIS) a d’abord vu le jour en 2016. Elle a été pensée pour protéger les infrastructures critiques de tous les types de cybermenaces en Europe. La nouvelle directive, la NIS2, vient renforcer la précédente directive et élargit le champ d’application afin de créer une norme de cybersécurité globale.
D’expérience, nous savons que les cybercriminels ciblent souvent les infrastructures et organisations critiques, qui contribuent au fonctionnement des services essentiels pour les gouvernements et les entreprises. Avec cette nouvelle directive, l’Union Européenne cherche à parer les vulnérabilités critiques afin d’instaurer un haut niveau de sécurité pour, dans le meilleur des cas, prévenir les cyberattaques et, dans le pire des cas, favoriser la reprise et la résilience.
La directive NIS2 exige des organisations et des infrastructures critiques qu’elles respectent des obligations de sécurité et de notification plus strictes. Par rapport à la précédente directive, la NIS2 s’applique à un plus grand nombre d’organisations et d’entreprises.
Voici les 5 piliers de la NIS2 :
- Instaurer CyCLONe (Cyber Crises Link Organisation Network) : la structure de gestion des crises cyber
- Créer des obligations de notification plus strictes dans le cadre de la nouvelle politique de sécurité
- Intégrer de nouveaux domaines d’intérêt tels que la chaîne d’approvisionnement, la gestion de la vulnérabilité, la cyber hygiène, etc.
- Instaurer des évaluations par les pairs afin d’améliorer la collaboration et le partage des connaissances entre tous les États membres
- Inclure davantage de secteurs et d’industries dans le champ d’application de la cyber protection afin de protéger une plus grande partie de l’économie
Pourquoi la directive NIS2 est-elle importante ?
La NIS2 élargit le champ d’application de la cybersécurité et de la préparation à la gestion des crises. Elle a été élaborée dans le sillon de la période de pandémie, lorsque les cyber menaces se sont multipliées et sont devenues plus préoccupantes. Selon les rapports, au cours des dernières années, le nombre et la nature des menaces cyber et des cyberattaques ont changé et ont un impact sur un plus grand nombre de secteurs et d’entités. Les mesures de protection doivent également être plus globales afin de protéger le plus grand nombre d’organismes critiques possible. La nouvelle directive inclut donc des mesures plus strictes pour renforcer la cybersécurité et la résilience des fournisseurs de services essentiels en Europe.
« La directive NIS2 est désormais entre les mains des Responsables Sécurité des Systèmes d’Information et des membres des Conseils d’administration qui devront personnellement veiller à sa mise en place au sein de leur organisation. Ils endossent ainsi une responsabilité supplémentaire puisque le non-respect de la règlementation les expose à de lourdes amendes. », témoigne Stefanie Hach.
Les nouveaux éléments couverts par la NIS2 portent essentiellement sur la phase de préparation à une crise. Cette nouvelle directive ne fait pas de distinction entre les opérateurs de services essentiels et les fournisseurs de services numériques. Elle s’applique à tous les organismes essentiels en fonction de leur taille, de leur impact et de leur secteur. Vous trouverez ci-dessous les moyens par lesquels la NIS2 aidera les infrastructures critiques fournissant des services essentiels à se préparer et à lutter contre les cyber menaces.
– Produire et tenir à jour un registre européen des vulnérabilités : le registre des vulnérabilités consignera les cyber vulnérabilités repérées dans toute l’Europe. Une étude sur la divulgation coordonnée des vulnérabilités (CVD) et les bases de données sur les vulnérabilités a été commanditée et conclue en 2021. Elle soutiendra la gestion des vulnérabilités et la base de données sur les vulnérabilités pour tous les États membres.
– Réseau européen Cyber Crisis Liaison Organisation Network (UE-CyCLONe) : il s’agit d’un réseau coopératif pour les États membres qui est en charge de la gestion des crises cyber. En collaboration avec un groupe de coopération, ce réseau a pour mission de soutenir l’échange d’informations et de développer une connaissance situationnelle. Il assurera également la liaison entre le niveau technique (réseau européen de CSIRT) et le réseau politique européen.
– Rapport annuel sur l’état de la cybersécurité dans l’UE : ce rapport annuel sur la cybersécurité permettra aux États membres de s’informer sur leur performance annuelle en matière de cybersécurité, de déceler les axes d’amélioration et d’analyser la situation de la cyber menace.
– Documenter tous les fournisseurs de services numériques transfrontaliers : créer et tenir un rapport de toutes les entités qui fournissent des services transfrontaliers, comme les fournisseurs de services informatiques cloud, les fournisseurs de services de centres de données, les fournisseurs de services DNS, les registres de noms de domaines de premier niveau.
– Évaluations menées par les pairs afin d’aider les États membres à actualiser leurs stratégies cyber.
– Établir un réseau de CSIRT (Computer Security Incident Response Team) et une autorité de coopération nationale compétente en matière de réseaux et de systèmes d’information (NIS) entre tous les États membres.
Quelles sont les conséquences pour les entreprises ?
Il reste moins de 600 jours avant que la NIS2 ne devienne une loi nationale. Exploitez ce temps pour vous sensibiliser sur les règlementations en matière de cybersécurité et mettre en place le processus.
Si vous êtes une entité essentielle ou importante, cette politique exige que vous mettiez en place de nouvelles mesures : analyse des risques et sécurité des informations, continuité d’activité, sécurité de la chaîne d’approvisionnement, gestion des incidents, développement des systèmes d’information y compris la divulgation des vulnérabilités, cryptographie, cryptage et authentification multi facteur. En outre, vous serez peut-être tenu d’opter pour des produits, services et processus TIC (Technologie de l’Information et de la Communication) approuvés par le Cybersecurity Act sous l’égide de l’ENISA. Stefanie Hach recommande de vous faire accompagner par un expert pour vous mettre en conformité avec la NIS2.
Entités essentielles (EE) | Entités importantes (EI) |
---|---|
Grands opérateurs issus de onze secteurs essentiels et cas particuliers : | Grands opérateurs issus de sept secteurs importants et opérateurs de taille moyenne |
Grandes entreprises : plus de 250 employés plus de 50 millions d’euros de chiffre d’affaires plus de 43 millions d’euros au total du bilan | Moyennes entreprises : 50 à 250 employés entre 10 et 50 millions d’euros de chiffre d’affaires Total du bilan inférieur à 43 millions d’euros |
Énergie (électricité, pétrole, gaz, réseaux de chaleur, hydrogène) | Santé (prestataires de soins de santé , laboratoires, R&D, produits pharmaceutiques) | Transports (aérien, ferroviaire, maritime, routier) | Banques | Marchés financiers | Entreprises et distributeurs d’eau potable | Entreprises et distributeurs d’eaux usées | Infrastructure numérique (fournisseurs de points d’échange internet (IXP), fournisseurs de services DNS, registres de noms de domaines de premier niveau, services de centres de données, services d’informatique cloud, réseaux de diffusion de contenu, services de confiance) | fournisseurs de services TIC | Espace | Administration publique | Services postaux | Services de courrier | Gestion des déchets | Produits chimiques | Denrées alimentaires | Industrie (technologie et ingénierie) | Fournisseurs numériques (places de marché en ligne, moteurs de recherche en ligne, plateformes de réseaux sociaux) | Recherche |
Les EE seront supervisées de manière proactive. | Les entités importantes (EI) feront l’objet d’une surveillance réactive. |
Pour les entités essentielles (EE), les amendes peuvent atteindre 10 millions d’euros ou jusqu’à 2 % du chiffre d’affaires mondial total de l’entreprise à laquelle appartient l’entité au cours de l’exercice précédent (le montant le plus élevé étant retenu). | Pour les entreprises importantes (EI), la directive NIS2 prévoit des amendes pouvant atteindre 7 millions d’euros ou jusqu’à 1,4 % du chiffre d’affaires mondial total de l’entreprise à laquelle appartient l’entité au cours de l’exercice fiscal précédent (le montant le plus élevé étant retenu). |
En cas de non-conformité, les amendes sont donc significativement plus élevées pour les entités essentielles. | En cas de non-conformité, les entités importantes (EI) se verront infliger des amendes moins importantes que les entités essentielles (EE). |
« Si vous n’êtes pas expert en cybersécurité, il est temps de rechercher un partenaire de confiance pour vous aider à mettre en place les mesures nécessaires. Et il n’est pas uniquement question d’un cabinet de conseil ou d’un partenaire juridique, mais également d’un prestataire de solutions. »
Comme vous l’avez peut-être déjà compris, la NIS2 ne concerne pas uniquement la phase de préparation, mais également la phase de réponse à la crise. Il est donc crucial que les entités et les entreprises essentielles respectent les obligations de notification des incidents lorsqu’elles sont confrontées à une menace ou à une attaque. Si ces entités notifient les incidents avec plus de précision et en temps voulu, elles permettent à toutes d’en être informées, ce qui ne compromet pas leur stratégie de croissance. Le processus de signalement des incidents comprend l’envoi d’une première alerte dans les 24 h suivant la prise de connaissance de l’incident. Il convient ensuite de signaler l’incident dans les 72 h suivant sa prise de connaissance. Le signalement doit s’accompagner d’une évaluation initiale de la gravité de l’incident, de son impact et des indicateurs de compromis. Enfin, un rapport final doit être produit un mois après la notification de l’incident afin de décrire en détail l’incident ainsi que l’analyse des causes.
Comment les entreprises peuvent-elles se mettre en conformité avec la directive NIS2 d’ici 2024 ?
Dans le cadre du déploiement de la NIS2, les entreprises doivent s’attendre à des inspections sur place, des audits de sécurité, des scans de sécurité, des demandes d’accès aux mesures adoptées par les entreprises/entités et des demandes de preuves de la mise en œuvre des politiques de cybersécurité.
Stefanie Hach liste ci-dessous les six étapes clés que chaque entreprise doit franchir pour se mettre en conformité avec la NIS2.
Stefanie Hach liste ci-dessous les six étapes clés que chaque entreprise doit franchir pour se mettre en conformité avec la NIS2 :
1. S’informer sur la manière dont la NIS2 vous impacte ou si vous êtes concerné.
2. Identifier les partenaires qui peuvent vous aider à vous mettre en conformité.
3. Mener une analyse des lacunes en collaboration avec des experts du secteur.
4. Sensibiliser les membres du Conseil d’administration et élaborer un processus pour mettre en œuvre les mesures manquantes.
5. Allouer un budget concret et, si possible, dédier une équipe au projet.
6. Mettre en œuvre les mesures, stratégies et process manquants dès maintenant afin d’être en conformité d’ici 2024.
Les entreprises doivent d’ores et déjà chercher à mettre en œuvre ces changements afin de se mettre en conformité d’ici le 17 octobre 2024. La directive NIS2 prévoit également de lourdes sanctions en cas de non-respect des exigences (amendes de 10 millions d’euros ou équivalentes à 2 % du chiffre d’affaires mondial, le montant le plus élevé étant retenu, pour les entités essentielles, et de 7 millions d’euros ou équivalentes à 1,4 % du chiffre d’affaires mondial, le montant le plus élevé étant retenu, pour les entités importantes).
Stefanie Hach, Responsable commerciale et marketing chez F24 Luxembourg
Avec la contribution des experts de F24
F24 est le premier fournisseur européen de Software-as-a-Service (SaaS) en matière de résilience. Plus de 5 500 clients dans le monde font confiance aux solutions de F24 pour aider les entreprises et les organisations dans tous les domaines. Les solutions couvrent la messagerie d’entreprise et la notification de masse, la gestion des incidents et des crises, ainsi que la gouvernance, le risque et la conformité (GRC).
F24 soutient des clients dans pratiquement tous les secteurs, qu’il s’agisse de l’énergie, de la santé, de l’industrie, de la finance, des technologies de l’information, du tourisme, de l’aviation ou d’une grande variété d’organisations publiques. Nos nombreuses années d’expérience ont fait de nous des experts internationaux en matière de renforcement de la résilience grâce à des solutions numériques.