Le nombre de cybermenaces a considérablement augmenté dans le monde entier, et plus particulièrement en Europe. C'est pourquoi la directive sur les réseaux et les systèmes d'information (NIS) a été publiée en juillet 2016, ouvrant la voie à l'amélioration du niveau général de cybersécurité dans l'Union européenne (UE).
S'appuyant sur cette toute première législation européenne sur la cybersécurité, la directive NIS 2 est entrée en vigueur en décembre 2022 pour renforcer la cybersécurité au sein de l'UE, en proposant un ensemble complet de mesures dont l'adoption par les États membres de l'UE est obligatoire d'ici le 17 octobre 2024.
Pour garantir la conformité et éviter des amendes inutiles, il est temps pour les organisations de se préparer aux mesures NIS 2. Voici tout ce qu'elles doivent savoir.
Qu'est-ce que la Directive NIS 2 ?
Il s'agit de la législation européenne la plus complète en matière de cybersécurité à ce jour. Elle vise à établir des lignes directrices pour les organisations fournissant des services essentiels et importants, afin qu'elles sachent comment réagir en cas de cybermenace. Elle a également pour objectif d'améliorer la collaboration entre les États membres de l'UE en matière de cybersécurité.
Dans le cadre de la Directive NIS 2, les organisations doivent mettre en œuvre, au minimum, les mesures suivantes :
- Politiques d'analyse des risques et de sécurité des systèmes d'information.
- Gestion des incidents.
- Continuité des activités.
- Sécurité de la chaîne d'approvisionnement.
- Pratiques de base en matière d'hygiène cybernétique et formation en cybersécurité.
- Procédures relatives à l'utilisation de la cryptographie et du chiffrement.
- Sécurité des ressources humaines, politiques de contrôle d'accès et gestion des actifs.
- Utilisation de l'authentification multi-facteurs (AMF), de solutions d'authentification continue et de systèmes de communication sécurisés.
- Parmi d'autres.
Quels secteurs sont concernés ?
Environ 160 000 entreprises réparties dans 18 secteurs devront se conformer à la Directive NIS 2, essentiellement toutes les entreprises de taille moyenne ou grande, avec 50 employés ou plus et un chiffre d'affaires supérieur à 10 millions d'euros. Cependant, certaines petites organisations peuvent également être incluses, quelle que soit leur taille, si les États membres les identifient comme des acteurs clés de notre société.
Ces 18 secteurs sont répartis en deux catégories :
Les entités des deux catégories devront se conformer, mais la différence réside dans la rigueur de leur supervision et dans les sanctions en cas de non-conformité :
- Les entités essentielles peuvent s'attendre à des amendes pouvant atteindre 10 millions d'euros ou au moins 2 % du chiffre d'affaires annuel mondial total.
- Les entités importantes peuvent s'attendre à des amendes pouvant atteindre 7 millions d'euros ou au moins 1,4 % du chiffre d'affaires annuel mondial total.
Prochaines étapes et échéances de la NIS 2
Afin de se préparer à la Directive NIS 2, les États membres et les entreprises doivent être conscients de ce qui va se passer et quand. Voici quelques-unes des dates les plus importantes à garder à l'esprit :
- D'ici le 17 octobre 2024
Les États membres doivent adopter les mesures nécessaires pour se conformer à la Directive NIS 2. Ces mesures doivent être appliquées à partir du 18 octobre 2024. -
Le 17 janvier 2025
Le Groupe de Coopération NIS devrait mettre en place une méthodologie d’évaluation par les pairs afin de tirer des enseignements des expériences partagées, d’instaurer une confiance mutuelle, d’améliorer la cybersécurité et de renforcer les capacités et les politiques des Etats membres, dans le cadre de la présente directive.
- D'ici le 17 avril 2025
Les États membres doivent établir une liste des entités essentielles et importantes. Cette liste doit être mise à jour régulièrement. - D'ici le 17 octobre 2027
La Commission européenne doit examiner le fonctionnement de la Directive NIS 2 et rendre compte au Parlement européen et au Conseil. Cette évaluation doit être effectuée tous les 36 mois par la suite.
Comment les entreprises peuvent-elles se préparer à la NIS 2?
Étant donné la date limite du 17 octobre 2024, il est conseillé d'agir dès maintenant. Il peut y avoir des obstacles sur la route, donc une planification préalable vous maintiendra sur la bonne voie.
Bien que la certification ISO 27001 constitue une base solide pour la gestion des risques de sécurité, le respect des exigences du NIS 2 variera en fonction de la législation nationale. Les organisations certifiées ISO 27 001 auront tendance à se rapprocher des obligations de conformité présentes dans la NIS 2 – tout comme ceux qui entrent dans le champ d’application de la NIS 1 – mais doivent tout de même rester attentifs à l’évolution des exigences nationales pour être alignés aux exigences de la directive.
Alter Solutions peut vous aider à identifier les services et processus critiques de votre entreprise, garantissant une mise en œuvre correcte de toutes les mesures de la NIS 2. Comment ?
- Évaluation et diagnostic
Nous commençons par identifier les services et processus essentiels de votre entreprise, afin de comprendre comment la Directive NIS 2 les impactera. Nous fournissons un rapport complet et définissons une feuille de route avec des mesures spécifiques pour garantir la conformité à la NIS 2. - Mise en œuvre des mesures nécessaires
Nous pouvons vous aider à définir des politiques de gestion des risques, un plan de continuité d'activité, des canaux de communication sécurisés, une formation en cybersécurité, entre autres choses qui pourraient nécessiter une attention particulière. Nous lançons la mise en œuvre, en tenant compte du niveau de sécurité spécifique de votre entreprise. - Surveillance régulière
À ce stade, votre entreprise est déjà conforme à la NIS 2. Néanmoins, il est important de vérifier régulièrement l'efficacité de toutes les mesures mises en œuvre et d'ajuster en conséquence. Il s'agit d'une tâche continue pour laquelle nous fournissons tout le soutien nécessaire.