Tout comprendre sur la directive NIS 2 ?

Drapeau illustrant la Directive NIS 2 pour une cybersécurité renforcée

La cybersécurité est plus que jamais au cœur des préoccupations de l’Union européenne (UE), et la nouvelle directive NIS2 en est la preuve concrète. Cette directive représente une avancée majeure dans le domaine de la législation de cybersécurité à l’échelle de l’UE, visant à renforcer la sécurité informatique de manière significative.

Les États membres ont également la possibilité d’ajouter des entités à leur liste nationale, y compris les organismes gouvernementaux locaux, les établissements éducatifs et les entreprises jugées cruciales pour le pays malgré leur taille plus modeste.

La directive NIS2 impose des obligations à tous les fournisseurs d’infrastructures critiques et de services numériques opérant dans l’UE, les obligeant à mettre en place des mesures techniques et organisationnelles appropriées pour gérer les risques liés à la sécurité de leurs réseaux et systèmes informatiques. Elle vise à relever les défis de la cybersécurité en instaurant un cadre juridique exhaustif au sein de l’UE.

La directive NIS2 couvre 18 secteurs distincts et leurs sous-secteurs. Son objectif est de combler les lacunes de la directive NIS originelle en élargissant la couverture des secteurs de services critiques, en renforçant les exigences de sécurité, en abordant la sécurité de la chaîne d’approvisionnement, en intensifiant les obligations de signalement et l’application de la loi.

La directive NIS2 vise à contrer diverses cyber-menaces , notamment sur les compromissions de la chaîne d’approvisionnement liés aux logiciels, les campagnes de désinformation sophistiquées, l’accroissement de la surveillance numérique et de la perte de la vie privée.

Elle s’attaque également aux problèmes d’erreur humaine et d’exploitation des systèmes hérités au sein des écosystèmes cyber-physiques, ainsi qu’aux attaques ciblées renforcées par les données des appareils intelligents.

Quels sont les secteurs affectés par le règlement NIS 2 ?

La directive NIS2 (Network and Information Security) élargit la portée de la directive NIS originale en incluant plus d’organisations et de secteurs. Les secteurs concernés par la directive NIS2 sont les suivants :

  1. Le secteur spatial
  2. Les administrations publiques
  3. Les fournisseurs de services numériques
  4. Les établissements de santé
  5. Les banques
  6. Les transports
  7. Les services postaux et d’expédition
  8. La gestion des déchets
  9. La fabrication
  10. Les télécommunications
  11. Les plateformes de réseaux sociaux
  12. Le secteur de l’eau
  13. La recherche

Il convient de souligner que toutes les entités opérant dans ces secteurs seront catégorisées comme « essentielles » ou « importantes » si elles satisfont l’une ou plusieurs des conditions suivantes :

  • Elles emploient plus de 50 personnes.
  • Leur chiffre d’affaires annuel dépasse les 50 millions d’euros.
  • Leur bilan annuel est supérieur à 43 millions d’euros.

De plus, les États ont la possibilité d’ajouter des entités spécifiques à leur liste nationale, telles que les organismes gouvernementaux locaux, les établissements d’enseignement, ainsi que les entreprises qui, bien que ne remplissant pas le critère de taille, sont considérées comme cruciales pour la nation.

Plus de détail sur :

Quelles sont les exigences imposées par le NIS 2 aux entreprises concernées ?

La directive NIS2 (Network and Information Security) impose diverses responsabilités aux entreprises concernées. Voici les principales exigences auxquelles les entreprises doivent se conformer en vertu de la directive NIS2 :

  1. Amélioration des mesures de sécurité : Les entreprises doivent mettre en place des mesures techniques, organisationnelles et opérationnelles appropriées pour gérer les risques pesant sur la sécurité de leurs réseaux et systèmes d’information. Ces mesures doivent garantir la confidentialité, l’intégrité et la disponibilité des données.
  2. Gestion des incidents de sécurité : En cas d’incident de cybersécurité, les organisations ont l’obligation de le signaler à l’ANSSI (Agence nationale de la sécurité des systèmes d’information) dans un délai de 24 heures. Ce délai pourrait être ajusté avant la mise en œuvre nationale de la directive.
  3. Évaluation des risques liés à la cybersécurité : Chaque entité doit procéder à une évaluation des risques liés à la cybersécurité au sein de sa structure. Cette évaluation doit prendre en compte les menaces de cyber sécurité.
  4. Gestion des risques de sécurité: Les entreprises doivent respecter des exigences renforcées en matière de gestion des risques, en tenant compte du principe de proportionnalité et de la criticité des entités concernées.
  5. Mettre en place des outils de détection et de réponse : Les entreprises doivent mettre en place des outils pour détecter et répondre aux incidents de sécurité.

Quelles sont les sanctions en cas de non-respect de la directive NIS 2 ?

La directive NIS2 impose des sanctions financières importantes en cas de non-respect de ses obligations. Bien que les sanctions puissent varier d’un pays à l’autre, la directive énonce un ensemble minimal de sanctions administratives pour les violations des règles relatives à la gestion des risques et à la déclaration en matière de cybersécurité.

Ces sanctions comprennent des amendes administratives, des ordres contraignants, des exigences de mise en conformité avec les normes de la directive NIS2, ainsi que des mesures visant à mettre en œuvre les recommandations d’un audit de sécurité.

En outre, des sanctions pénales peuvent être appliquées, notamment des poursuites pour négligence grave contre les dirigeants d’entreprise.

Il est essentiel de noter que la directive NIS2 ne deviendra formellement contraignante qu’à partir d’octobre 2024. Cependant, il est vivement recommandé aux entreprises concernées de se préparer le plus tôt possible aux nouvelles obligations de la directive NIS2, sans attendre qu’elles soient transposées dans la législation nationale.

L’article 34(4) de la Directive NIS2 prévoit des sanctions administratives en cas de non-respect de ces obligations (voir ci-dessous pour plus de détails dans cet article). Les amendes varient en fonction de la classification de l’entité :

  • Pour les Entités Importantes (EI), la Directive NIS2 stipule que des sanctions administratives peuvent être imposées, atteignant un maximum de 7 millions d’euros ou 1,4% du chiffre d’affaires annuel mondial total de l’exercice précédent de l’entreprise à laquelle l’entité importante est affiliée, en retenant le montant le plus élevé.
  • Pour les Entités Essentielles (EE), des sanctions administratives pouvant aller jusqu’à 10 millions d’euros ou 2% du chiffre d’affaires annuel mondial total de l’exercice précédent de l’entreprise à laquelle l’entité essentielle est affiliée, en retenant le montant le plus élevé, sont prévues.

10 mesures minimales de cybersécurité exigées par la directive NIS2

D’après la réglementation (Article 21), les Entreprises et les Entités Individuelles (EE et EI) doivent mettre en place au moins les 10 mesures suivantes :

  1. Élaborer des politiques de sécurité et réaliser une évaluation des risques cyber.
  2. Gérer les incidents, couvrant la prévention, la détection et la réponse aux incidents.
  3. Gérer les crises et assurer la continuité des activités, notamment par la gestion des sauvegardes et la reprise des opérations.
  4. Assurer la sécurité de la chaîne d’approvisionnement, y compris la sécurité dans les interactions entre l’entité et ses fournisseurs ou prestataires de services.
  5. Assurer la sécurité du système informatique, ce qui implique de prendre des mesures lors de l’acquisition, du développement et de la maintenance des réseaux et des systèmes informatiques, en plus de gérer les vulnérabilités.
  6. Mettre en place des politiques et des procédures, notamment des tests et des audits, pour évaluer l’efficacité des mesures de gestion des risques liés à la cybersécurité.
  7. Encourager l’adoption de principes fondamentaux de cybersécurité par les collaborateurs et dispenser une formation en cybersécurité à leur intention.
  8. Élaborer des politiques et des procédures concernant l’utilisation de la cryptographie et, le cas échéant, du chiffrement.
  9. Assurer la sécurité des ressources humaines en instaurant des politiques de contrôle d’accès et en supervisant la gestion des actifs.
  10. Mettre en place des solutions d’authentification à plusieurs facteurs ou une authentification continue, ainsi que des communications sécurisées par voix, vidéo et texte, et des systèmes de communication d’urgence sécurisés, en fonction des exigences spécifiques de l’entité.

Information complémentaire : Lien

Publications similaires :

Deux professionnels de la cybersécurité en pleine discussion stratégique au sujet de l'analyse des risques, une étape cruciale dans la protection des entreprises, en particulier les TPE, PME et ETI. Leur échange met en lumière leur expertise en matière d'identification, d'évaluation et de gestion des menaces potentielles pour la sécurité informatique, démontrant leur engagement envers la sécurité numérique des entreprises de toutes tailles.Quelle est l’importance de l’analyse de risque en entreprise? e texte met en lumière l'importance cruciale de la cybersécurité au sein des entreprises et souligne le rôle central de la charte informatique en tant qu'obligation légale et droit fondamental. Vous y découvrirez pourquoi établir une charte informatique est une nécessité pour renforcer la sécurité des systèmes informatiques en entreprise. Il décortique également les règles et directives que cette charte vise à instaurer, ainsi que les conséquences potentielles du non-respect de ces règles.La charte informatique en entreprise ? Image pare-feu informatique - Protégez votre entreprise avec notre solution de sécurité avancéePourquoi mettre en place un firewall ? Monde cyber - Les enjeux de la cybersécuritéLes enjeux de la cybersécurité Une professionnelle confiante et engagée signe la charte informatique de l'entreprise avec détermination. Cette image illustre l'importance de la conformité aux politiques de sécurité informatique au sein de notre organisation.Exemple : charte informatique pour les entreprises ?
Retour en haut