Résilience et risque cyber : NIS2… En quoi suis-je concerné ?

Comprendre la nouvelle réglementation européenne NIS2, quels impacts pour mon entreprise ? La cybersécurité est devenue un enjeu stratégique pour l’Union européenne, qui a adopté en janvier 2023 une nouvelle directive sur la sécurité des réseaux et des systèmes d’information, appelée NIS2. Cette directive vise donc à renforcer et à harmoniser les exigences de cybersécurité […]

Comprendre la nouvelle réglementation européenne NIS2, quels impacts pour mon entreprise ?

La cybersécurité est devenue un enjeu stratégique pour l’Union européenne, qui a adopté en janvier 2023 une nouvelle directive sur la sécurité des réseaux et des systèmes d’information, appelée NIS2. Cette directive vise donc à renforcer et à harmoniser les exigences de cybersécurité pour les opérateurs de services essentiels (OSE) et les secteurs importants. Elle vise ainsi à étendre le champ d’application à de nouveaux secteurs et acteurs. Quels sont les principaux changements apportés par NIS2, et quelles sont les conséquences pour les entreprises concernées ?

Concrètement, qu’est-ce que les opérateurs de services essentiels (OSE) et les « secteurs importants » ?

Contrairement à sa version première, la réglementation NIS2 établit une liste claire des secteurs concernés et prévoit que toutes les entités actives dans ces secteurs sont automatiquement considérées comme des « entités essentielles » ou « importantes » si :

  • – Elles emploient plus de 250 personnes,
  • – Elles ont un chiffre d’affaires annuel de plus de 50 millions d’euros,
  • – Et/ou un bilan annuel supérieur à 43 millions d’euros.

 

Les « entités essentielles » et « importantes » sont soumises aux mêmes impératifs avec un régime d’application plus léger pour les secondes.


 


 


 

Qu’est-ce que la directive NIS2 ?

Ainsi, La directive NIS2 est la révision de la première directive NIS. Adoptée en 2016, elle visait à créer un cadre commun de cybersécurité au sein de l’UE, en imposant aux États membres de :

  • – Désigner des OSE et des « entités importantes »,
  • – Mettre en place des autorités nationales compétentes et des équipes de réponses aux incidents (CERT),
  • – Favoriser la coopération entre les pays.

En conséquence, la directive NIS2, entrée en vigueur le 27 décembre 2022, vise à renforcer ce cadre, en tenant compte de l’évolution des menaces, des technologies et du marché numérique. Elle introduit notamment les modifications suivantes :

  • – Tout d’abord : Une extension du champ d’application : la directive NIS2 couvre désormais beaucoup plus de secteurs et de sous-secteurs considérés comme essentiels ou importants pour l’économie et la société. Ces secteurs sont : les transports, l’énergie, la santé, l’eau, la finance, la poste, les administrations publiques, les communications électroniques, les réseaux sociaux, les plateformes en ligne, les services de cloud, les centres de données, les fournisseurs de cybersécurité, etc.
    Elle concerne également les entités juridiques qui fournissent des services essentiels ou importants à ces secteurs, comme les sous-traitants ou les prestataires de services.
  •  
  • – Dans un second temps, une harmonisation des critères de désignation : la directive NIS2 établit des critères communs et des seuils quantitatifs pour identifier les entreprises impactées. Cette analyse varie en fonction de leur impact potentiel sur la sécurité publique, la santé, la sécurité ou le bien-être économique ou social.
    Elle prévoit par ailleurs une procédure de notification volontaire pour les entités qui ne sont pas désignées, mais qui souhaitent bénéficier du régime de NIS2.
  •  
  • – Troisièmement, une augmentation des obligations de sécurité : la directive NIS2 impose aux OSE et aux « entreprises importantes » de :

Mettre en œuvre des mesures techniques et organisationnelles appropriées pour prévenir, détecter, réagir et remédier aux incidents de cybersécurité,

  • Quatrièmement, en tenant compte des normes et des bonnes pratiques existantes, elle les oblige également à :

aliser des évaluations de risques, effectuer des audits internes ou externes, désigner des points de contact, coopérer avec les autorités et signaler les incidents dans un délai de 24 heures.

  • – Enfin, une augmentation des sanctions : la directive NIS2 prévoit des sanctions dissuasives. Elles sont proportionnées en fonction des cas de non-respect des obligations de sécurité ou de notification. Ces sanctions peuvent aller jusqu’à 10 millions d’euros ou 2% du chiffre d’affaires annuel mondial.

 

Quels sont les impacts pour mon organisation et moi ?

La directive NIS2 représente un défi majeur pour les entreprises concernées. Elles devront se conformer à des exigences de cybersécurité plus strictes et plus uniformes, sous peine de sanctions financières ou de réputation.

Elle implique notamment les actions suivantes :

  • – Se renseigner sur le statut dont l’entreprise pourrait dépendre. Vérifier le bon champ d’application de la directive NIS2, et les critères de désignation applicables.
  • Se tenir informé de la transposition de la directive en droit national. Cette transposition doit intervenir avant octobre 2024. Elle devrait ainsi introduire des spécificités ou des adaptations spécifiques à la France.

– Se préparer à la mise en conformité, en réalisant un état des lieux de la situation actuelle de l’entreprise en matière de cybersécurité. Docuementer les écarts par rapport aux exigences de la directive NIS2.  Elaborer un plan d’action pour les résorber.

  • – Il faut également anticiper les coûts et les ressources nécessaires pour la mise en œuvre des mesures de sécurité, les audits et les notifications.

– Se doter d’une stratégie et d’une gouvernance de cybersécurité. C’est à dire, impliquer tous les niveaux de l’entreprise, de la direction aux opérationnels, en passant par les fonctions support. Il s’agit également de sensibiliser et de former les collaborateurs aux enjeux et aux bonnes pratiques de cybersécurité. C’est finalement renforcer la culture de sécurité au sein de l’organisation.

  • – Se faire accompagner par des experts ou des prestataires de services de cybersécurité qualifiés. Ils accompagneront l’entreprise à évaluer ses risques et à définir sa politique de sécurité. Ils interviendront par ailleurs pour mettre en place des solutions adaptées, et réaliser des tests de pénétration. Enfin, ils contribueront à gérer les incidents, à la mise en conformité avec les obligations réglementaires.

 


En conclusion

La directive NIS2 est une opportunité pour votre entreprises de renforcer sa résilience. C’est également une opportunité de créer de la confiance avec vos clients et vos partenaires.
Elle sera également un véritable levier pour renforcer votre stratégie de développement en mettant en place les dispositifs et les moyens de vous relever et de poursuivre votre activité en cas d’attaque.

La seule vraie question restant en réalité de savoir quand cette attaque pourrait avoir lieu, et pas si !

Share:

More Posts

Cybersécurité, Protection des données, Transformation digitale
Vous souhaitez approfondir ?

Copyrights © 2024 – Winthorpe Company