Vous n’avez peut-être pas encore entendu parler de la directive NIS2, mais vous devez la connaître si vous travaillez dans la sphère du numérique. Que vous soyez chef d’entreprise, professionnel de l’informatique ou curieux de savoir comment l’UE gère la cybersécurité, la directive NIS2 va changer la donne.
En quoi consiste la directive NIS2 ?
Tout d’abord, la directive NIS2, officiellement connue sous le nom de directive (UE) 2022/2555, est un texte législatif adopté par l’Union européenne pour améliorer la cybersécurité. Elle s’appuie sur la directive NIS initiale, qui portait sur la sécurité des réseaux et des systèmes d’information. Toutefois, elle va plus loin en s’attaquant au paysage en constante évolution des cybermenaces. Si la première directive NIS a jeté les bases, NIS2 en est la rénovation complète.
La directive vise à renforcer la cybersécurité et la résilience numérique dans l’ensemble de l’UE, en veillant à ce que les États membres et les entreprises opérant au sein de l’Union maintiennent des normes élevées. Tout cela fait partie de la stratégie de l’UE visant à créer un espace numérique plus sûr où les cyber incidents peuvent être gérés efficacement, qu’ils soient causés par des pirates informatiques, des défaillances de systèmes ou même des catastrophes naturelles.
À qui s’applique le NIS2 ?
Le champ d’application de la NIS2 est beaucoup plus large que celui de la directive initiale. Elle ne vise pas seulement les entreprises technologiques ou les grands fournisseurs de services numériques. Elle introduit deux catégories d’entités réglementées : les entités essentielles et les entités importantes.
Entités essentielles : Industries considérées comme vitales pour la société et l’économie. Pensez à l’énergie, aux soins de santé, aux transports, aux services financiers et à l’infrastructure numérique. Si une cyberattaque perturbe ces secteurs, les retombées pourraient être massives
Entités importantes : Elles ne sont peut-être pas aussi critiques que les entités essentielles, mais leur défaillance peut avoir des conséquences considérables. Des secteurs comme les services postaux, l’approvisionnement alimentaire et la fabrication de produits chimiques entrent dans cette catégorie. Si l’impact d’une attaque sur ces secteurs n’est pas catastrophique, il n’en demeure pas moins qu’elle entraînerait des perturbations importantes.
Si votre organisation appartient à l’une de ces catégories, vous devez vous familiariser avec le NIS2.
Qu’est-ce que cela signifie pour les entreprises ?
Quel est donc l’enjeu pour les entreprises qui relèvent désormais du NIS2 ? La directive impose de nouvelles obligations dans quelques domaines clés et le respect de ces exigences constituera un défi pour certaines organisations.
Un champ d’application et des secteurs élargis
La directive NIS2 s’applique à un éventail de secteurs beaucoup plus large que son prédécesseur. Des secteurs comme l’énergie, les transports, la banque et les soins de santé sont tous couverts, et bien d’autres encore. Cela signifie que de nombreuses organisations qui n’ont jamais eu à se préoccuper de la cybersécurité à ce niveau doivent maintenant passer à la vitesse supérieure. Pour certaines d’entre elles, la charge réglementaire de la mise en conformité pourrait être un peu écrasante, surtout si elles ont encore besoin de mesures de cybersécurité solides.
Des obligations accrues en matière de cybersécurité
Dans le cadre de la NIS2, il ne suffit pas d’avoir quelques pare-feu et logiciels antivirus. Les entreprises doivent adopter des mesures complètes de gestion des risques, y compris des politiques de réponse aux incidents, de sécurité de la chaîne d’approvisionnement et des plans de continuité des activités. En matière de cybersécurité, il s’agit d’être proactif plutôt que réactif. Les évaluations régulières de la sécurité, la formation du personnel et le suivi des mises à jour logicielles sont quelques-unes des priorités des entreprises.
Formation obligatoire
Les États membres doivent exiger que les membres des organes de gestion des entités vitales suivent une formation. Ils doivent également encourager les entités essentielles à dispenser régulièrement une formation similaire à leurs employés, afin qu’ils acquièrent les connaissances et les compétences nécessaires pour identifier les risques, évaluer les pratiques de gestion des risques liés à la cybersécurité et comprendre leur impact sur les services fournis par l’entité.
Signalement des incidents
Le NIS2 comporte certaines des exigences les plus strictes en matière de notification des incidents. Les organisations sont tenues d’informer les autorités des incidents importants dans les 24 heures suivant leur découverte. Le non-respect de ce délai peut entraîner des sanctions, d’où l’importance d’un processus solide de détection et de réponse aux incidents. La rapidité et l’exactitude des rapports sont les meilleurs alliés pendant que l’horloge tourne.
Harmonisation dans l’UE
L’un des principaux objectifs de NIS2 est d’harmoniser les réglementations en matière de cybersécurité dans l’ensemble de l’UE. En théorie, cela signifie que tous les États membres suivront les mêmes règles, ce qui permettra aux entreprises opérant dans plusieurs pays de rester plus facilement en conformité. Toutefois, l’alignement sur les différentes interprétations de la directive dans les différentes régions pose encore des problèmes.
Responsabilité et gouvernance
La NIS2 fait peser une plus grande responsabilité sur les cadres supérieurs. Les dirigeants ne peuvent pas se contenter de déléguer la cybersécurité à leurs équipes informatiques et de s’en contenter. On attend d’eux qu’ils s’impliquent dans la supervision des politiques de cybersécurité et qu’ils en assurent la conformité. Dans certains cas, si une entreprise ne remplit pas ses obligations, la direction générale peut être tenue personnellement responsable.
Sécurité de la chaîne d’approvisionnement
L’une des parties les plus délicates du NIS2 est l’accent mis sur la sécurité de la chaîne d’approvisionnement. Les organisations doivent évaluer et gérer les risques de cybersécurité posés par les fournisseurs tiers. Ce n’est pas une mince affaire, surtout pour les entreprises qui dépendent d’un réseau complexe de fournisseurs. S’assurer que vos partenaires sont aussi sûrs que vous demandera du temps et des ressources.
Amendes et sanctions
La directive prévoit également une application plus stricte et des sanctions plus lourdes en cas de non-conformité. Les entreprises qui ne respectent pas les exigences pourraient se voir infliger de lourdes amendes et les atteintes à leur réputation en cas de cyber incident pourraient être encore plus graves. La conformité n’est pas facultative si vous voulez éviter ces risques.
Comment se conformer à la directive NIS2
Le défi n’est pas impossible à relever pour toute entreprise soumise à la directive NIS2. Vous pouvez prendre des mesures pour assurer la conformité et, plus important encore, pour améliorer votre position globale en matière de cybersécurité. Voici quelques bonnes actions à considérer :
- Mettre en œuvre des mesures de gestion des risques, y compris des évaluations régulières de la sécurité, le cryptage et la formation continue du personnel
- Veiller à ce que les incidents soient signalés en temps utile : disposer d’une procédure simple pour détecter, évaluer et signaler les incidents aux autorités dans les délais impartis
- Mettre l’accent sur la gouvernance et la responsabilité : faire de la cybersécurité une priorité au niveau de la direction et attribuer des rôles de supervision clairs
- Sécurisez votre chaîne d’approvisionnement en évaluant les pratiques de sécurité de vos fournisseurs tiers et en veillant à ce qu’ils respectent les normes nécessaires
- Élaborez et testez des plans d’intervention : disposez d’un plan de continuité des activités que vous testez et mettez à jour régulièrement afin de réduire au minimum les temps d’arrêt en cas d’attaque
- Utiliser des outils spécialement conçus pour faciliter la mise en conformité, comme la plateforme NAVEX One
La directive NIS2 constitue une étape importante dans le renforcement de la cybersécurité au sein de l’UE. Bien que les défis pour les entreprises soient importants, ils sont gérables. En adoptant une approche proactive de la cybersécurité, les entreprises peuvent éviter les sanctions et se protéger contre la menace croissante des cyberattaques.
Une plateforme complète de gouvernance, de risque et de conformité (GRC) aide les organisations à gérer la conformité au NIS2 en rationalisant les rapports d’incidents, en fournissant une formation à la cybersécurité et en consolidant les processus de gestion des risques. NAVEX One peut aider à faciliter le chemin vers la conformité, en rendant le processus plus facile à gérer. Si vous travaillez dans un secteur concerné par NIS2, il est temps de commencer à vous préparer.
Découvrez comment les solutions NAVEX One peuvent aider votre entreprise à se conformer aux exigences du NIS2 :
- Solutions de lancement d’alerte
- NAVEX One Policy and Procedure management
- NAVEX One Disclosure management
- Code de conduite
- Formations en ligne sur l’éthique et la conformité
