Télécharger Mozilla Firefox 
Télécharger Google Chrome NIS2 : les nouvelles obligations en matière de cybersécurité
Qu’est ce que la directive NIS2 ?
Cette directive comporte une cinquantaine d'articles et repose sur trois piliers : des cadres coordonnés au sein de chaque État membre, une coopération et des échanges d'information via le réseau des CSIRT, et enfin, le management des risques complété par des obligations de reporting. Elle élargit considérablement le champ d'application de la précédente directive NIS, imposant des obligations plus strictes à un plus grand nombre d'organisations.
NIS2 introduit des changements significatifs dans la gestion de la sécurité informatique pour les entreprises concernées. Elle met l'accent sur la mise en place de mesures techniques et organisationnelles robustes, la notification des incidents et le renforcement de la gouvernance en matière de cybersécurité. Cette directive a également un impact sur le marché des assurances cyber, en encourageant les entreprises à se conformer aux bonne pratiques de gestion de risque que préconisent déjà les assureurs. Pour comprendre pleinement les implications de NIS2, il est essentiel d'examiner son périmètre, ses obligations clés et son influence sur les stratégies de cybersécurité des organisations.
Les enjeux de la directive NIS2
Renforcement de la résilience cyber européenne
La directive NIS2 marque une étape cruciale dans le renforcement de la résilience cyber à l'échelle européenne. Elle vise à améliorer la protection des infrastructures critiques au sein des États membres de l'UE, à prévenir ou détecter les incidents de cybersécurité, et à y répondre de manière appropriée. L'objectif est d'élever la cybersécurité à un nouveau niveau dans toute l'Union européenne, en établissant des exigences minimales pour la sécurité des réseaux et des systèmes d'information. Cette harmonisation des pratiques permettra d'assurer des normes de sécurité uniformes et de faciliter l'échange d'informations transfrontalier.
Adaptation aux nouvelles menaces
Le paysage des menaces cyber a considérablement évolué depuis l'introduction de la directive NIS initiale. Les cyberattaques sont devenues plus sophistiquées, plus fréquentes et plus dommageables, nécessitant une réponse plus forte et plus flexible. NIS2 vise à répondre à ces développements en améliorant la résilience et la capacité de réponse aux menaces cyber. La directive reconnaît que davantage de secteurs sont essentiels au maintien des fonctions sociales et économiques vitales, et étend donc son champ d'application pour garantir que ces secteurs soient soumis à des mesures de protection appropriées.
Harmonisation des pratiques
NIS2 introduit des mécanismes d'application plus stricts et des sanctions plus élevées en cas de non-conformité. Ces mesures visent à souligner le sérieux avec lequel l'UE considère la cybersécurité et à assurer le respect des règles. En élargissant le champ d'application, en harmonisant les exigences et en introduisant des mécanismes d'application plus stricts, NIS2 contribue à renforcer la résilience de l'UE face aux risques cyber. Cette approche globale vise à créer un environnement numérique plus sûr et plus résilient pour tous les acteurs économiques et sociaux de l'Union européenne.
La directive NIS2 vient renforcer les exigences légales de cyber résilience des entreprises européennes. La gestion des risques Cyber devient donc aujourd'hui incontournable dans les stratégies de gestion des risques d'entreprise.
Périmètre d'application de NIS2
Secteurs critiques et hautement critiques
La directive NIS2 élargit considérablement son champ d'application par rapport à sa version précédente. Elle couvre désormais une vingtaine de secteurs jugés essentiels pour le fonctionnement de la société et de l'économie, incluant ceux déjà couverts par la NIS1, tels que les établissements de santé, les transports et les banques, et élargissant son application à des secteurs tels que la grande distribution alimentaire, la gestion des déchets, les infrastructures numériques, les services postaux, le secteur spatial et les administrations publiques.
Même si une organisation n'est pas directement concernée par les obligations de NIS2, un grand client, soumis à la réglementation, pourrait exiger un niveau de conformité similaire chez ses fournisseurs.
Critères de taille des entreprises
NIS2 s'applique majoritairement aux moyennes et grandes entreprises des secteurs concernés. Les critères de taille sont définis comme suit : les entreprises de taille moyenne comptent entre 50 et 250 employés, avec un chiffre d'affaires annuel inférieur à 50 millions d'euros ou un bilan total annuel ne dépassant pas 43 millions d'euros. Les grandes entreprises dépassent ces seuils. Il est important de noter que ces critères ne sont pas cumulatifs ; atteindre l'un d'entre eux suffit pour être classé dans la catégorie correspondante.
Extension aux administrations publiques
Une nouveauté majeure de NIS2 est l'inclusion des administrations publiques dans son champ d'application. Cette extension vise à renforcer la résilience cyber de l'ensemble du secteur public, reconnaissant son rôle crucial dans le maintien des fonctions sociétales et économiques vitales. Cette inclusion souligne l'importance croissante de la cybersécurité dans tous les aspects de la gouvernance et des services publics.
Chiffre clé
Obligations clés pour les entités concernées
Mise en place d'une gouvernance cyber
La directive NIS2 impose aux entités essentielles et importantes de mettre en place une gouvernance cyber solide. Les organes de direction doivent approuver les mesures de gestion des risques cybersécurité, superviser leur mise en œuvre et peuvent être tenus responsables en cas d'infractions. Ils sont également tenus de suivre une formation en cybersécurité et d'encourager leurs employés à faire de même. Cette approche vise à créer une culture de la cybersécurité au sein de l'organisation, où chacun comprend son rôle dans la protection des systèmes d'information.
Mesures techniques et organisationnelles
Les entités doivent prendre des mesures techniques et organisationnelles appropriées et proportionnées pour gérer les risques cyber. Cela inclut l'analyse des risques, la gestion des incidents, la continuité des activités, la sécurité de la chaîne d'approvisionnement et la gestion des vulnérabilités. Des audits de sécurité réguliers, incluant des tests d'intrusion et des scans de vulnérabilités, sont exigés pour garantir un haut niveau de sécurité.
Gestion des incidents
NIS2 renforce les obligations en matière de notification des incidents. Les entités doivent signaler les incidents significatifs aux autorités compétentes dans des délais stricts : une alerte précoce dans les 24 heures, une notification d'incident dans les 72 heures, et un rapport final dans un délai d'un mois. Cette exigence vise à améliorer la transparence et à permettre une réponse rapide aux menaces cyber. Les entités doivent également informer les destinataires de leurs services potentiellement affectés par un incident significatif, renforçant ainsi la responsabilité envers les parties prenantes.
Impacts sur la stratégie de cybersécurité
Intégration de la sécurité dès la conception
La directive NIS2 exige une approche proactive de la cybersécurité. Les organisations doivent intégrer la sécurité dès la conception de leurs produits et services. Cette approche implique l'évaluation des risques à chaque étape du cycle de vie du produit et la mise en place de contrôles de sécurité appropriés. Les entreprises doivent adopter des pratiques de développement sécurisé et mettre en œuvre des mesures de protection des données sensibles, telles que le chiffrement et l'authentification multifactorielle.
Gestion des risques liés aux tiers
NIS2 met l'accent sur la sécurité de la chaîne d'approvisionnement, obligeant les organisations à évaluer et à gérer les risques cyber liés à leurs fournisseurs et partenaires. Les entreprises doivent mettre en place des processus rigoureux pour évaluer la sécurité de leurs fournisseurs, inclure des clauses de sécurité dans les contrats et effectuer des audits réguliers. Cette approche globale de la gestion des risques liés aux tiers a pour objectif de renforcer la résilience de l'ensemble de l'écosystème numérique.
Quelles sanctions en cas de non-respect ?
Les sanctions en cas de non-conformité avec NIS2 sont sévères. Les entités essentielles (EE) peuvent se voir infliger des amendes allant jusqu'à 10 millions d'euros ou 2 % de leur chiffre d'affaires annuel mondial, tandis que les entités importantes (EI) risquent des amendes allant jusqu'à 7 millions d'euros ou 1,4 % de leur chiffre d'affaires annuel mondial.
Verspieren vous accompagne dans votre démarche de gestion des risques, aussi bien au niveau de la prévention que dans le transfert de risque résiduel aux assureurs.
Newsletter