NIS devient NIS2
La date limite pour la transition de NIS vers NIS2 approche à grands pas. Une législation basée sur cette directive européenne sur la sécurité des réseaux et des systèmes d’information est attendue fin 2024. Il est probable que cela affectera votre organisation, d’autant plus que NIS2 s’applique à beaucoup plus d’organisations que les anciennes directives NIS. De plus, ces organisations doivent répondre à de nombreuses autres exigences de sécurité.
Votre organisation est-elle prête pour NIS2 ?
Dirk de Goede, Security Solution Specialist Insight, explique quelles peuvent être les conséquences pour les entreprises et les organisations.
“Pour se conformer aux directives NIS2.0, il est important de déterminer quels systèmes et services de votre organisation sont considérés comme une infrastructure critique et quels risques existent. Sur cette base, vous pouvez déterminer quelles mesures vous devez mettre en œuvre et comment vous pouvez les intégrer dans votre organisation.”
Dirk de Goede
Spécialiste des solutions de sécurité chez Insight
NIS2 en bref :
La version révisée de l’actuelle directive européenne NIS a été introduite début 2023. Cette directive : NIS2, vise à améliorer et garantir le niveau de sécurité des réseaux et des systèmes dans toute l'UE et à réduire l'impact des cyberattaques sur l'économie et la société.
NIS2 introduit des règles plus strictes que la directive NIS originale, car elles ne suffisent plus pour relever les défis numériques actuels. La directive comprend, entre autres, des mesures visant à gérer les risques de cybersécurité et les obligations de déclaration des incidents.
Les entreprises qui relèvent des nouvelles directives NIS2 ont jusqu'au 17 octobre 2024 pour s'adapter à la nouvelle norme.
À qui NIS2 s’applique-t-il ?
NIS2 s'applique aux secteurs suivants :
Catégorie 1: énergie, transports, banque, infrastructures des marchés financiers, soins de santé, eau potable, eaux usées, infrastructures numériques, gestion des services TIC, gouvernement et espace.
Catégorie 2: services postaux et de messagerie, gestion des déchets, fabrication, production et distribution de produits chimiques, production, transformation et distribution de produits alimentaires, fabrication, prestataires numériques et recherche.
La directive s'applique aux organisations de ces secteurs, ayant un minimum de 50 salariés et/ou un chiffre d'affaires annuel (et/ou un total de bilan annuel) de 10 millions d'euros. Cependant, il existe également des situations spécifiques dans lesquelles la taille des organisations ne joue aucun rôle.
Les organisations couvertes par la directive NIS2 sont considérées au moins comme une « entité majeure ». Les organisations de catégorie 1 comptant au moins 250 salariés et/ou un chiffre d'affaires annuel de 50 millions d'euros et/ou un total de bilan annuel de 43 millions d'euros sont considérées comme une « entité essentielle ». Ces entreprises sont soumises à une surveillance et à une application plus stricte que les « grandes entités ».
Quels sont les thèmes principaux de NIS2 ?
Voici quelques sujets clés couverts par NIS2 :
1. Propriété des risques : Le conseil d’administration joue un rôle important pour garantir le respect des exigences en matière de gestion des risques. Le conseil d'administration doit approuver les mesures de gestion des risques de cybersécurité et superviser leur mise en œuvre. Le conseil d'administration peut être tenu personnellement responsable du manquement à son obligation de veiller au respect de la directive.
2. Exigences de sécurité : L'article 21 de la directive NIS2 contient une liste de mesures de gestion des risques de cybersécurité que les entités essentielles et importantes doivent mettre en œuvre pour protéger leur réseau et leurs systèmes d'information. Ces mesures comprennent la gestion des incidents, la continuité des activités et la gestion des crises, les pratiques de base en matière de cyberhygiène, ainsi que les politiques et procédures concernant l'utilisation du cryptage.
3. Sécurité de la chaîne d'approvisionnement : Si votre organisation relève de la directive NIS2, vous devrez accorder une attention particulière à la sécurité de la chaîne d'approvisionnement. Cela comprend l’identification des vulnérabilités liées aux fournisseurs et prestataires de services, ainsi que l’évaluation de la qualité de leurs produits et de leurs pratiques de cybersécurité.
4. Signalement des incidents : Les entités essentielles et importantes doivent fournir une alerte précoce à l'équipe gouvernementale de réponse aux informations sur la sécurité informatique (CSIRT) ou à l'autorité compétente dans les 24 heures suivant un incident important et signaler l'incident dans les 72 heures. Les organisations doivent également informer leurs clients des incidents. Les incidents majeurs sont définis dans la directive comme des incidents qui entraînent de graves perturbations opérationnelles des services ou des pertes financières pour l'organisation, ainsi que des dommages matériels ou immatériels importants à d'autres personnes ou entités.
Comment se préparer à NIS2 ?
Si votre organisation relève de la directive NIS2, il est important de commencer les préparatifs tôt. Les thèmes mentionnés prennent beaucoup de temps à mettre en œuvre.
Insight propose une approche intégrée pour aider votre organisation à se conformer à la directive NIS2. Notre approche se concentre sur l'utilisation des processus existants au sein de votre organisation comme base pour la conformité NIS2, tout en tenant compte des autres directives et réglementations de l'UE.
Nous pouvons vous aider à identifier les actions nécessaires pour aider votre organisation à faire les premiers pas. Laissez Insight vous aider à établir une base solide pour la conformité NIS2 et à protéger votre organisation contre les cybermenaces.
Prendre rendez-vous avec un expert
Découvrez tout ce que vous devez savoir sur NIS2 lors d'une session d'experts, spécifiquement destinée à votre organisation !
Au cours de cette session, nous approfondirons la réglementation NIS2, en mettant l'accent sur votre situation spécifique et les conséquences réelles pour votre organisation. La session fournit un aperçu complet de l’impact de NIS2 sur votre organisation. Tenez compte de questions telles que le devoir de diligence, le reporting, la supervision et la responsabilité. Au cours de la session, nous définissons les prochaines étapes claires et un « appel à l'action » pour préparer votre organisation à NIS2.