Prêt ou pas, NIS2 est là. À partir d'octobre 2024, les organisations concernées opérant dans l'UE devront se conformer à l'ensemble des mesures de cybersécurité de la directive NIS2, y compris les contrôles de la chaîne d'approvisionnement, les obligations de déclaration renforcées et la planification plus détaillée de réponse aux incidents.
Si tout cela vous donne des maux de tête, ne vous inquiétez pas : nous sommes là pour vous expliquer exactement ce que NIS2 signifie pour vous. Dans cet article, nous expliquons les dix exigences de base du NIS2 et montrons comment une bonne formation de sensibilisation à la cybersécurité est une première étape pour aider votre équipe à s’y préparer.
Commençons par l'essentiel : qu'est-ce que le NIS2 et en quoi est-il important ?
Prêt à faire du NIS2 une promenade de santé ? Téléchargez gratuitement notre checklist de conformité en six étapes.
Qu'est-ce que le NIS2 et pourquoi est-ce important ?
La directive sur la sécurité des réseaux et de l'information (NIS2) est une directive réglementaire de l'UE qui établit un niveau plus élevé de cybersécurité pour les organisations opérant dans les États membres. Elle s'appuie sur la NIS de 2016 en exigeant des entreprises qu'elles prennent des mesures supplémentaires pour se protéger contre les cybermenaces.
Plus précisément, la NIS2 vise à :
- Accroître la résistance en matière de cybersécurité en exigeant des entreprises de l'UE remplissant des fonctions importantes pour les secteurs sociaux et économiques qu'elles prennent des mesures de protection adéquates en matière de cybersécurité ;
- Réduire la forte hétérogénéité actuelle en matière de cybersécurité en alignant davantage les rapports de sécurité et d'incidents et en dressant une liste élargie de mesures de sécurité obligatoires ; et
- Améliorer la capacité collective à répondre aux menaces en instaurant la confiance entre les autorités, en partageant les informations et en fixant des règles à appliquer en cas d'incident de grande ampleur.
Après l'approbation du NIS2 par l'UE en janvier 2023, les États membres ont jusqu'à octobre 2024 pour transposer ses mesures en droit national. À ce moment-là, les entreprises de l'UE devront se conformer aux exigences du NIS2 sous peine de se voir infliger des amendes ou d'autres mesures contraignantes.
Examinons maintenant un sujet lié : qu'en est-il de la réglementation sur la résilience opérationnelle (Digital Operational Resilience Act) ?
Attendez, qu'en est-il de la DORA ?
Parallèlement à la directive NIS2, la loi sur la résilience opérationnelle numérique (DORA) entrera également en vigueur dans les États membres de l'UE début 2025. Bien que la directive NIS2 et le règlement DORA soient des textes distincts, ils atteignent en pratique des objectifs complémentaires.
La directive NIS2 vise à harmoniser le niveau global de cybersécurité dans l'UE, tandis que le règlement DORA vise à renforcer la capacité de résistance opérationnelle des entreprises du secteur financier de l'UE, en veillant à ce que les systèmes financiers soient en mesure de résister aux cyberattaques.
En d'autres termes, le DORA définit un cadre réglementaire spécifique pour les entreprises du secteur financier de l'UE. Si vous travaillez dans l'un des 21 types d'entreprises visés à l'article 2 du DORA (établissements de crédit, établissements de paiement, établissement d'investissement et autres), ou si vous êtes un fournisseur essentiel de ces entreprises, il se peut que vous deviez renforcer votre niveau de protection en matière de cybersécurité pour rester dans la course.
Voici les cinq éléments clés de la loi DORA et ce qu'ils signifient pour les entreprises concernées :
- Les entreprises doivent disposer d'un cadre de gestion des risques liés aux technologies de l'information et de la communication (TIC) et familiariser l'ensemble de leur personnel avec ce cadre.
- De même, les entreprises doivent avoir mis en place un processus de réponse aux incidents, classifiant les incidents et les signalant de manière appropriée.
- Les tests de sécurité seront désormais obligatoires et devront être effectués plus souvent qu'auparavant.
- Les entreprises doivent répertorier tous les risques liés à des tiers et montrer comment elles les adressent (par exemple, les risques liés aux fournisseurs clés).
- Les entreprises devront désormais obligatoirement partager des renseignements sur les menaces qui les visent, au sein de la communauté des organisations financières.
De nombreuses grandes organisations du secteur financier de l'UE se conformeront probablement à ces éléments grâce à leurs systèmes et protections de cybersécurité existants. Cependant, pour les entreprises plus petites travaillant dans le secteur, ces éléments peuvent nécessiter de nouveaux niveaux de préparation.
Revenons à la NIS2. En quoi est-elle différente de la NIS de 2016 ?
En savoir plus : La sensibilisation à la cybersécurité permet de gérer les risques et d'améliorer votre ROI
En quoi la NIS2 est-elle différente de la directive NIS de 2016 ?
Dans les années qui ont suivi l'entrée en vigueur de la NIS, les législateurs de l'UE ont identifié certains problèmes liés à son application. En particulier, les normes NIS ne reflétaient pas le niveau d'interconnexion entre les secteurs numérisés et ne correspondaient pas à la complexité croissante des cybermenaces. Elles n'ont pas non plus anticipé l'expansion rapide de l'activité en ligne due à la pandémie COVID-19.
Le NIS2 relève le défi en couvrant un plus grand nombre d'industries européennes, dont la gestion des TIC et l'industrie manufacturière (nous avons inclus la liste complète dans le tableau ci-dessous). Avec cette couverture élargie, les experts estiment que le NIS2 s'appliquera à environ 160 000 entreprises dans les 27 États membres, ce qui contribuera à créer un ensemble amélioré de pratiques partagées en matière de cybersécurité.
Cinq extensions clés du NIS au NIS2
En plus de s'appliquer à un plus grand nombre d'entreprises dans l'UE, le NIS2 exige des organisations qu'elles prennent des mesures supplémentaires pour se protéger contre les menaces liées à la cybersécurité. Pour ce faire, elle développe la NIS de cinq manières essentielles :
- Appropriation du risque : Le personnel de direction auront désormais un rôle plus central dans l'appropriation des risques de cybersécurité, y compris dans l'approbation et la mise en œuvre des mesures de gestion des risques.
- Sanctions : Les autorités de l'UE peuvent désormais imposer des amendes allant jusqu'à 10 millions d'euros, ou 2 % du chiffre d'affaires annuel d'une entreprise, en réponse à des violations du NIS2. Elles peuvent également rendre publics les aspects de la non-conformité et suspendre les certifications et les autorisations.
- Exigences en matière de sécurité : Les entités essentielles et importantes seront tenues de prendre des mesures techniques « appropriées et proportionnées » pour gérer les risques liés à la sécurité des réseaux et des systèmes d'information (voir ci-dessous).
- Sécurité de la chaîne d'approvisionnement : Les entreprises devront désormais faire preuve d'une plus grande vigilance à l'égard des processus de leur chaîne d'approvisionnement, notamment en évaluant les pratiques de leurs fournisseurs et prestataires de services en matière de cybersécurité, et en prenant des mesures pour remédier aux risques éventuels.
- Signalement des incidents : Les entreprises doivent signaler plus rapidement les incidents de cybersécurité, en soumettant des notifications initiales aux autorités compétentes dans les 24 heures suivant les incidents importants, suivies d'un rapport de notification complet dans les 72 heures et d'un rapport final après un mois.
Voilà donc les principaux éléments de la NIS2. Mais comment s'appliquent-ils à votre entreprise ?
Entités « importantes » ou « essentielles » : En quoi la NIS2 vous concerne-t-elle ?
La NIS2 apporte des changements significatifs à la manière dont les entreprises européenne sont catégorisées en termes d'exigences de cybersécurité. Cela permet de remédier au risque de traitement hétérogène dans le cadre de la NIS 2016, où les États membres avaient appliqué des définitions contradictoires des « organisations vitales » (couvertes par la NIS) et des « organisations non vitales » (non couvertes), créant ainsi une certaine confusion pour les entreprises concernées.
Pour remédier à ces incohérences, la NIS2 définit un ensemble unique et simplifié d'exigences en matière de cybersécurité couvrant toutes les « entités essentielles (EE) » et les « entités importantes (EI) », et exige des États membres qu'ils identifient et enregistrent les entreprises opérant sur leur territoire d'ici avril 2025.
Voici un bref aperçu de la manière dont les entreprises européennes seront classées dans le cadre de la NIS2 :
Note : * indique les nouveaux secteurs ajoutés lors de la transition du NIS au NIS2
La NIS2 a-t-elle un impact sur les entreprises situées en dehors de l'UE ?
Les exigences du NIS2 ne s'appliquent qu'aux entités essentielles et importantes des États membres de l'UE. Cependant, toutes les entreprises qui font des affaires avec des organismes européens doivent garder à l'esprit que les nouvelles exigences NIS2 en matière de sécurité de la chaîne d'approvisionnement s'étendent aussi à leurs partenaires commerciaux.
Parallèlement à la directive NIS2, plus de 40 États américains ont introduit 250 projets de loi axés sur la cybersécurité, et d'autres devraient suivre. Il est donc essentiel que les organisations américaines examinent si leurs politiques et systèmes de sécurité sont toujours adaptés à la demande de ces exigences croissantes.
Les dix mesures fondamentales de cybersécurité exigées par la NIS2
La NIS2 exige de toutes les entités essentielles (EE) et importantes (EI) de l'UE qu'elles prennent des mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées pour gérer les risques liés à la sécurité des réseaux et des systèmes d'information.
Les entreprises doivent prévenir ou minimiser l'impact de tout incident de sécurité sur leurs clients et utilisateurs. Plus précisément, l'article 21 décrit dix mesures de référence minimales que toutes les entreprises essentielles et importantes doivent mettre en place pour gérer les risques liés à la cybersécurité :
- Politiques en matière d'analyse des risques et de sécurité des systèmes d'information, y compris des orientations à l'intention des membres du personnel sur les pratiques de base en matière de sécurité informatique et de gestion des risques.
- Un plan de gestion des incidents de sécurité, comprenant le signalement, l'investigation et la résolution des incidents, et précisant les personnes et les groupes responsables de ces actions.
- Des politiques visant à assurer la continuité des activités, y compris la gestion des opérations pendant et après un incident de sécurité. Concrètement, il s'agit de s'assurer que les sauvegardes sont à jour et de maintenir l'accès aux systèmes informatiques et à leurs fonctions d'exploitation.
- Politiques et meilleures pratiques en matière de sécurité de la chaîne d'approvisionnement, y compris la gestion des risques de sécurité pouvant découler de la relation entre une entreprise et ses fournisseurs directs. Plus précisément, les entreprises doivent évaluer le niveau de sécurité de tous les fournisseurs, identifier toute vulnérabilité potentielle et y remédier par des mesures de sécurité appropriées.
- Politiques visant à garantir la sécurité de l'acquisition, du développement et de la maintenance des réseaux et des systèmes d'information. Cela inclut le traitement et la divulgation de toute vulnérabilité en matière de sécurité.
- Des politiques et des procédures permettant d'évaluer l'efficacité des mesures de gestion des risques liés à la cybersécurité, notamment en programmant des audits par des tiers et en agissant en fonction des résultats de ces audits.
- Pratiques de base en matière de cyberhygiène et formation à la cybersécurité. Il s'agit notamment d'une formation sur la manière d'identifier les menaces les plus courantes en matière de cybersécurité, sur les mesures à prendre en réponse à ces menaces et sur les meilleures pratiques à adopter pour assurer la sécurité des données sensibles.
- Politiques et procédures concernant l'utilisation de la cryptographie et le cas échéant du chiffrement. Cela inclut le stockage et le traitement des informations sensibles sur les clients.
- Les politiques et procédures de sécurité des ressources humaines couvrant les employés ayant accès à des données sensibles ou importantes. En particulier, les organisations doivent avoir une vue d'ensemble claire de toutes les données pertinentes et veiller à ce qu'elles soient correctement utilisées et traitées.
- L'utilisation de solutions d'authentification multifactorielle et d'authentification continue, y compris des communications vocales, vidéo et textuelles sécurisées et des communications d'urgence internes cryptées.
Alors, comment les entreprises peuvent-elles être sûres que les mesures qu'elles ont mises en place sont 'appropriées et équilibrées' au sens de la NIS2 ? Il faut pour cela tenir compte de trois facteurs :
- Le degré d'exposition de l'entreprise aux risques ;
- La taille de l'entreprise et la probabilité que des incidents de sécurité se produisent; et
- La gravité des impacts potentiels de ces incidents de sécurité (y compris leur impact sociétal et économique).
Que se passe-t-il si nous ne respectons pas les mesures de cybersécurité NIS2 ?
Par rapport au régime de sanctions de la NIS, la NIS2 introduit un ensemble de sanctions plus strictes pour les entreprises qui ne respectent pas les mesures de cybersécurité de base :
- Les entités essentielles (EE) peuvent se voir infliger des amendes allant jusqu'à 10 millions d'euros, ou au moins 2 % du chiffre d'affaires annuel total de l'exercice précédent (le montant le plus élevé étant retenu).
- Les entités importantes (EI) peuvent se voir infliger des amendes allant jusqu'à 7 millions d'euros, ou au moins 1,4 % du chiffre d'affaires annuel total de l'exercice précédent (le montant le plus élevé étant retenu).
Dans de nombreux cas, ces sanctions pourraient potentiellement menacer la viabilité future des entreprises, sans parler de l'impact sur leur réputation. Mais au-delà de ces pénalités, se conformer aux exigences de la NIS2 est la bonne chose à faire. Cela reflète un engagement commun en faveur de la cybersécurité et constitue un moyen essentiel de protéger vos clients et vos employés contre les cyberattaques.
Prêt à faire de NIS2 une promenade de santé ? Téléchargez gratuitement notre checklist de conformité NIS2 en six étapes.
La clé de la conformité NIS2 ? Une grande culture de cybersécurité
Se conformer aux exigences élargies de la NIS2 en matière de cybersécurité peut sembler insurmontable, mais nul raison d’être découragé. L'une des meilleures façons de s'y préparer ? Instaurer une culture de sensibilisation à la cybersécurité.
Vous devez vous assurez que tous les membres de votre équipe connaissent les dernières menaces en matière de cybersécurité (telles que le spear phishing ou les deepfakes) et protéger votre organisation et vos clients de ces menaces en les formant aux bonnes pratiques en matière de cybersécurité.
Pour savoir comment Albert peut proposer une formation à la cybersécurité interactive et ludique afin de renforcer votre protection et de vous conformer aux exigences du NIS2, contactez l'un de nos experts dès aujourd'hui.
FAQ :
- Qu'est-ce que la directive NIS2 ? NIS2 est une mesure réglementaire de l’UE visant à établir un niveau commun plus élevé de cybersécurité entre les organisations opérant au sein de l’UE. Elle oblige les États membres de l’UE à mettre en œuvre un nouvel ensemble d’exigences en matière de cybersécurité pour les organisations.
- En quoi la NIS2 est-elle importante pour moi ? NIS2 prescrit un ensemble commun de mesures en cybersécurité pour les entreprises de l'UE, y compris la sécurité de la chaîne d'approvisionnement, la déclaration des incidents, l'évaluation des risques et l'audit, ainsi que d'autres contrôles de sécurité. Ces exigences entreront en vigueur en octobre 2024.
- Quelle est la différence entre une « entité essentielle » et une « entité importante » ? La NIS2 établit une distinction entre ces deux catégories en fonction du secteur d'activité, du nombre d'employés, du chiffre d'affaires annuel et de la valeur des actifs, et prévoit des sanctions différentes. Les exigences de base en matière de cybersécurité sont les mêmes pour les entités essentielles et importantes.
- La NIS2 concerne-t-elle les organisations situées en dehors de l'UE ? La NIS2 ne s'applique pas aux entreprises situées en dehors de l'UE. Toutefois, les entreprises ayant des relations commerciales avec des entités de l'UE seront probablement confrontées à de nouveaux contrôles de cybersécurité concernant la chaîne d'approvisionnement à la suite de la NIS2.
- Que dois-je faire pour me conformer à la NIS2 ? La conformité à la NIS2 exige que les entreprises mettent en œuvre une série de mesures de cybersécurité appropriées et proportionnelles, décrites dans l'article 21 du NIS2. Notre checklist de conformité en six étapes peut vous aider à démarrer.
- Que se passe-t-il si je ne me conforme pas à la NIS2 ? Les entreprises qui ne se conforment pas à la NIS2 s'exposent à une série de sanctions, notamment des pénalités financières. La non-conformité aux exigences de la NIS2 augmente également le risque de cyberattaques.