Directive NIS-2 : comment bien se préparer aux nouvelles exigences de cybersécurité ?

Directive NIS-2 : comment bien se préparer aux nouvelles exigences de cybersécurité ?

Résumé : ce qu’il faut savoir

  • La directive NIS 2, une nouvelle série de mesures pour la cybersécurité en Europe, vise à établir un niveau élevé de sécurité pour les infrastructures critiques et les entreprises importantes. Depuis son entrée en vigueur le 16 janvier 2023, la directive NIS-2 établit de nouvelles normes en matière de cybersécurité au sein de l’UE. Les États membres ont jusqu’au 17 octobre 2024 pour la transposer en droit interne, un défi de taille pour les organisations concernées.
  • Cette révision couvre en détail les exigences de la directive NIS-2 et offre aux entreprises une feuille de route claire pour mettre en œuvre les précautions de sécurité nécessaires en temps voulu. Les entreprises doivent désormais travailler activement en ce sens, afin d’éviter d’éventuelles sanctions pour non-conformité.
  • Découvrez qui sont les entreprises concernées, quelles actions sont recommandées et à quelles échéances, ainsi que les conséquences d’une non-conformité. Dans cette analyse, vous trouverez les informations essentielles pour préparer votre entreprise à la directive NIS-2 et renforcer votre cyber-résilience dans un monde de plus en plus numérisé.

Pour les entreprises critiques, il était temps d’avoir des directives de sécurité plus strictes, car toute faille de sécurité est susceptible d’avoir de graves conséquences, pouvant aller jusqu’à la paralysie de tout un pays. La directive NIS-2 vise à harmoniser et à clarifier les mesures de sécurité pour améliorer la résilience et la réactivité des entités publiques et privées au sein de I’UE. L’objectif principal est d’élever le niveau général de cybersécurité dans l’ensemble de l’Union européenne. Cette initiative s’appuie sur la directive NIS-1 (Network and Information Security Directive), adoptée en 2016, et a pour but de poursuivre les mêmes objectifs.

Faut-il revoir la directive NIS-1 ?

La directive originale de l’UE sur la sécurité des réseaux et de l’information (NIS) a montré des lacunes importantes dans la pratique :

  • Réglementations incohérentes à travers les frontières
  • Manque de suivi de la mise en œuvre
  • Exigences vagues en matière de communication des risques informatiques
  • Niveau de sécurité insuffisant
  • Absence de stratégie commune pour les situations de crise

L’introduction de la directive NIS-2 vise à surmonter ces incohérences. Elle définit précisément quelles organisations sont considérées comme critiques et à quel secteur elles appartiennent. En outre, NIS-2 élargit le cercle des entreprises concernées, introduit de nouvelles obligations, prévoit des sanctions plus strictes et renforce l’approche en matière de gestion des risques.

Parmi les principales innovations, des lignes directrices claires sur les process, le contenu, les délais de signalement des incidents de sécurité ainsi que sa mise en œuvre, son suivi et son application dans le droit national. En outre, NIS-2 favorise la coopération entre les entités privées et publiques en cas de crise grâce à la formation d’équipes nationales d’intervention en cas d’urgence informatique (CSIRT) et à la mise en place de plans d’intervention en cas d’incident.

Le texte intégral de la directive NIS-2 et de ses mises en œuvre figure au Journal officiel de l’Union européenne du 14/12/2022, disponible via le lien suivant allemand et en anglais.

Checklist : quelles entreprises sont concernées par la directive NIS-2 ?

La directive NIS-2 concerne un large éventail d’entreprises essentielles au maintien d’activités sociétales et économiques importantes. Voici un aperçu des principaux secteurs soumis à la nouvelle réglementation :

Les opérateurs de services essentiels : ce groupe doit déterminer dans quelle mesure les installations individuelles sont soumises à la réglementation de la directive. Ils le font sur la base de critères spécifiques permettant d’identifier la pertinence de leurs installations.

Les entités importantes centrales : principalement identifiées en fonction de la taille de l’entreprise (moyennes et grandes entreprises) :

Les entreprises de taille moyenne ayant soit :

  • 50 à 249 salariés et un chiffre d’affaires inférieur à 50 millions d’euros ou un bilan total inférieur à 43 millions d’euros.
  • Moins de 50 salariés, mais un chiffre d’affaires compris entre 10 et 50 millions d’euros et un bilan total compris entre 10 et 43 millions d’euros.

Les grandes entreprises, ayant soit :

  • plus de 250 salariés
  • un chiffre d’affaires d’au moins 50 millions d’euros et un bilan total d’au moins 43 millions d’euros.

Remarque : certaines PME peuvent également être concernées par la directive si elles répondent à certains critères. La Commission européenne distingue les entreprises des « secteurs hautement critiques » des « autres secteurs critiques ». Les critères exacts de ces classifications sont définis dans la directive NIS-2.

La Commission européenne fait une distinction entre les entreprises concernées, en les classant en « secteurs hautement critiques » et « autres secteurs critiques ». Les directives correspondantes figurent dans le tableau récapitulatif suivant.

Installations particulièrement critiques (Annexe I « secteurs hautement critiques ») :

  • Énergie : électricité, chauffage et refroidissement urbains, pétrole, gaz naturel, hydrogène
  • Transport : Transport aérien, transport ferroviaire, transport maritime, transport routier
  • Banque
  • Infrastructures des marchés financiers
  • Santé
  • Eau potable
  • Eaux usées
  • Infrastructure numérique
  • Gestion des services TIC (services Technologies de l’Information et de la Communication, B2B)
  • Secteur public
  • Espace

Autres installations critiques (Annexe II « Autres secteurs critiques ») :

  • Services postaux et de messagerie
  • Gestion des déchets
  • Production, fabrication et vente de substances chimiques
  • Production, transformation et distribution de denrées alimentaires
  • Secteur industriel/Fabrication de biens : fabrication de dispositifs médicaux et de diagnostics in vitro/ Fabrication de produits informatiques, électroniques et optiques/ Fabrication d’équipements électriques/Génie mécanique/ Fabrication de véhicules à moteur et de pièces de véhicules à moteur/ Autre construction de véhicules
  • Fournisseurs de services numériques
  • R&D

Loi de mise en œuvre de NIS-2 et les obligations qui en découlent pour les entreprises

Depuis septembre 2023, le troisième projet de loi pour la mise en œuvre de la directive européenne NIS2 et la promotion de la cybersécurité, connu sous le nom de loi de mise en œuvre NIS2 (NIS2UmsuCG), est en discussion. Cette loi oblige les entreprises à traiter de manière proactive les incidents de sécurité dans le domaine des technologies de l’information. Les organisations concernées doivent fournir à l’Office fédéral de la sécurité de l’information (BSI) des rapports complets en cas d’incident de sécurité. Une première notification doit être effectuée dans les 24 heures après incident, puis une deuxième dans les 72 heures, et enfin un rapport complet doit être remis un mois après. Les incidents de sécurité sont des événements qui compromettent l’intégrité des données stockées, transmises ou traitées. Ou des évènements qui affectent la disponibilité ou la fonctionnalité des services fournis ou rendus accessibles par le biais de systèmes, de composants et de processus informatiques.

Ce volet souligne l’importance de la conformité NIS2 et des obligations pour les entreprises de renforcer leur infrastructure de cybersécurité et de réagir efficacement aux incidents de sécurité.

Plus précisément, il traite des questions suivantes :

  • La disponibilité
  • L’authenticité
  • L’intégrité ou
  • La confidentialité des données et des services concernés

Obligations pour les entreprises : assurer la sécurité informatique et le respect des obligations de déclaration

Efficacité des stratégies de sécurité informatique et de gestion des risques

Les entreprises exploitant des systèmes pertinents doivent mettre en œuvre des mesures techniques et organisationnelles (TOM) efficaces pour assurer leur sécurité informatique. Parmi les mesures à prendre :

  • Analyse des risques et sécurité des systèmes informatiques
  • Traitement des incidents de sécurité
  • Maintenance, restauration et gestion des sauvegardes
  • Sécurité de la supply chain et entre les installations et les prestataires de services
  • Sécurité dans le développement, l’approvisionnement et la maintenance ainsi que la gestion des vulnérabilités
  • Évaluation de l’efficacité de la sécurité IT et gestion des risques IT
  • Formation à la sécurité IT et à la cyberhygiène
  • Chiffrement et cryptographie
  • Sécurité du personnel, contrôle des accès et gestion des installations
  • Authentification multifactorielle
  • Communication sécurisée
  • Gestion de crise et communication d’urgence sécurisée

Remarque : les modalités pourront être modifiées jusqu’à l’adoption de la loi.

Obligation de déclaration

Si un incident de sécurité survient dans une entreprise concernée, l’obligation de déclaration sera désormais plus forte.

1. Dans les 24 heures suivant la prise de connaissance d’un incident de sécurité, un rapport préliminaire devra être soumis au BSI.

2. Dans les 72 heures, un rapport complet avec une première évaluation de l’incident devra suivre.

3. Enfin, l’entreprise dispose d’un mois pour délivrer un rapport final détaillant l’incident, la nature de la menace et les effets transfrontaliers.

Sanctions et amendes pour les entreprises : comprendre les risques de non-conformité

Pour assurer le respect des réglementations par les organisations concernées, des obligations de signalement et des sanctions plus strictes seront appliquées en cas de non-conformité. PWC récapitule les sanctions encourues:

  • Les sanctions sont prises graduellement et peuvent aller jusqu’à 20 millions d’euros.
  • Les sanctions concernent aussi bien les fautes de négligence que les actes intentionnels.
  • Pour les installations importantes, une amende maximale de 7 millions d’euros ou de 1,4 % du chiffre d’affaires annuel global pourra être infligée.
  • Pour les installations particulièrement critiques, les amendes peuvent aller jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires annuel global, la valeur la plus élevée étant retenue.
  • Aucune distinction n’est faite entre les installations particulièrement importantes et les infrastructures critiques

Important : les dirigeants sont responsables de leurs biens personnels.

Le projet de loi du ministère fédéral de l’Intérieur allemand stipule que les dirigeants et cadres dirigeants des entreprises sont responsables du respect des règles de sécurité sur leurs biens personnels. L’amende peut représenter jusqu’à 2 % du chiffre d’affaires annuel mondial.

Directive NIS-2 : Quand entrera-t-elle en vigueur ?

La nouvelle directive 2022/2555 (NIS-2) est entrée en vigueur au niveau de l’UE en 2023, mais les États membres ont jusqu’au 17 octobre 2024 pour faire entrer la directive dans le droit national. D’ici là, les entreprises devront avoir pris les mesures appropriées.

La loi de mise en œuvre de NIS-2 devrait être annoncée d’ici mars 2024.

Important : les directives NIS-2 s’appliquent également aux petites entreprises

Même si vous avez moins de 50 salariés et que vous générez moins de 10 millions d’euros de chiffre d’affaires annuel, vous n’êtes pas forcément épargnés par cette législation. Les PME et TPE peuvent aussi être concernés par NIS2 si elles répondent aux critères des installations (particulièrement) critiques mentionnés ci-dessus.

Si vous n’êtes pas sûr que votre entreprise appartienne ou non aux installations critiques soumises à NIS-2, n’attendez pas de recevoir un courrier de notification : chaque entreprise concernée doit le déterminer de sa propre initiative.

Si votre entreprise, par exemple, est un prestataire de services ou un fournisseur pour une entreprise particulièrement critique, elle sera automatiquement considérée comme critique et sera soumise à des mesures de sécurité strictes.

Directive NIS-2 : la checklist ultime pour la mise en conformité

  • Vérifiez si votre entreprise est concernée par NIS-2 et est considérée comme une installation critique
  • Si votre entreprise est concernée, informez la direction et déterminez qui est responsable de la mise en œuvre des mesures correspondantes
  • Planifiez et déployez les mesures nécessaires pour assurer la cybersécurité et la gestion des risques
  • Définissez un plan d’urgence pour les incidents de sécurité, incluant la continuité des activités, la gestion des sauvegardes, la récupération du système et la gestion de crise
  • Établissez une procédure de signalement et déterminez les personnes responsables

Choisissez Kiteworks pour être conforme aux exigences NIS 2

Le respect de la directive NIS 2 est essentiel pour garantir la cybersécurité des organisations et instaurer un climat de confiance. Avoir une checklist peut aider les services informatiques à ne rien oublier pour être conformes à NIS-2. Identifier le champ d’application de la directive, réaliser une évaluation des risques, définir un plan de réponse aux incidents, garantir la surveillance et la maintenance en continu, former le personnel et tenir à jour la documentation et les rapports. La conformité NIS 2 est une obligation légale, mais c’est aussi l’occasion de devenir plus résilient contre les cybermenaces. Kiteworks accompagne les entreprises avec une plateforme qui facilite la conformité avec NIS 2 en fournissant une approche zéro trust pour la protection et la gestion des informations sensibles.

Pour en savoir plus sur la conformité aux exigences NIS 2 avec Kiteworks, réservez votre démonstration personnalisée .

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

Table of Content
Partagez
Tweetez
Partagez
Explore Kiteworks