31 Août, 2023

Cyber Sécurité

Qu’est-ce que NIS2?

Du RGPD à NIS2

Le Règlement général sur la protection des données (RGPD) est indéniablement la norme réglementaire ayant eu le plus grand impact et ayant transformé la manière dont les entreprises opèrent.

Le RGPD place la confidentialité, la sécurité, la protection et les droits des données au cœur de ses préoccupations, en mettant l’utilisateur et le client au centre de ses préoccupations. Le règlement a été conçu pour octroyer aux utilisateurs un contrôle et une transparence accrus sur les données collectées à leur sujet par les entreprises.

standard-quality-control-collage-concept

Nous estimons qu’une nouvelle norme de conformité pourrait avoir un impact tout aussi significatif que le RGPD, bien que les discussions à son sujet soient encore limitées.

Il s’agit de la directive NIS2, ancrée dans l’Union européenne, qui concerne un nombre bien plus vaste d’entreprises que la directive NIS originale.
Cette nouvelle directive en matière de cybersécurité vise à instaurer des rapports fondamentaux sur les incidents, à gérer les risques en matière de cybersécurité et de chaîne d’approvisionnement, et à imposer des sanctions sévères en cas de non-conformité.

Si le RGPD avait pour objectif d’élever les normes de confidentialité et de sécurité des données des utilisateurs, NIS2 vise à rehausser ces normes pour les entreprises et organisations dans leur ensemble.

Bien que l’obligation de se conformer à cette nouvelle directive ne survienne qu’à l’automne 2024, il est crucial que les entreprises s’y préparent le plus tôt possible, car la mise en conformité peut demander des efforts conséquents, selon les contrôles et la stratégie de cybersécurité actuels des entreprises.

En plaçant la conformité avec NIS2 au sommet de leurs priorités dès maintenant, les entreprises peuvent garantir qu’elles respecteront l’échéance sans se retrouver précipitées à l’approche de celle-ci.

Qu’est-ce que la directive NIS ?

La directive NIS, également appelée directive sur la sécurité des réseaux et de l’information (Network and Information Security), représente une mesure législative européenne en matière de cybersécurité, qui élargit la portée de la directive NIS initiale.
Le NIS2 élargit le champ d’application de ses dispositions à plusieurs secteurs d’activité et impose des exigences plus ciblées et rigoureuses en matière de sécurité informatique et de gestion des risques. En parallèle, il accroît les pénalités et sanctions en cas de non-conformité.

Le texte intégral du NIS2 peut être consulté ici.



Quand la directive NIS2 sera-t-elle mise en œuvre ?

NIS2 a été officiellement publié le 27 décembre 2022 et est entré en vigueur le 16 janvier 2023.

Les États membres de l’UE sont tenus d’incorporer la NIS2 dans leur législation nationale d’ici le 18 octobre 2024. Les organisations concernées doivent également se conformer à cette directive d’ici le 18 octobre 2024.

Parmi les exigences du NIS2 figurent notamment les suivantes :



Gérer les risques au sein de leurs réseaux et systèmes d’information.



Mettre en place un ensemble minimal de mesures de sécurité couvrant la sécurité de la chaîne d’approvisionnement, la gestion des vulnérabilités, l’évaluation des risques en cybersécurité, etc.



Mettre un accent accru sur la gestion des risques critiques au sein de la chaîne d’approvisionnement.



Établir un organe de gestion chargé de superviser et d’approuver les mesures de cybersécurité, doté des compétences requises dans ce domaine.



Respecter un délai d’intervention spécifique, pouvant varier de 24 à 72 heures après la détection de l’incident, et publier un rapport final dans le mois suivant la notification de l’incident.

Qui est concerné par NIS2 ?

Puisque NIS2 est une directive européenne, elle s’applique à l’ensemble des entreprises établies dans un État membre de l’Union européenne.

Cette nouvelle directive est en vigueur pour les entreprises classées comme « entités essentielles » et « entités importantes« .

Entités essentielles

Entreprises qui emploient 250 salariés ou plus et qui génèrent un chiffre d’affaires de 50 millions d’euros, ou bien un total de bilan de 43 millions d’euros

Les secteurs visés au sein des entités essentielles sont les suivants :
• Énergie
• Transport
• Marchés financiers et bancaires
• Infrastructures numériques et gestion des services TIC, y compris les fournisseurs de services informatiques en nuage (cloud)
• Administrations publiques
• Aérospatial

Entités importantes

Entreprises employant plus de 50 employés et qui enregistrent un chiffre d’affaires annuel ou un total de bilan de 10 millions d’euros.

Les secteurs visés au sein des « entités importantes » englobent :
• Tous les secteurs de l’entité essentielle,
mais avec le critère de taille « Entités importantes »
• Services postaux
• Gestion des déchets
• Fabrication, production et distribution de produits chimiques
• Production
• Fournisseurs de services numériques
• Organismes de recherche

Si une entité ne satisfait pas à ces critères, mais constitue un « fournisseur unique » sociétal ou économique critique au sein d’un État membre, elle peut être qualifiée comme entité essentielle ou importante. Cependant, les États membres doivent finaliser leur liste d’entités essentielles et importantes d’ici avril 2025.

Quelles sont les amendes ou les sanctions si mon organisation ne suit pas la directive NIS2 ?

Les organisations qui ne se conforment pas à la directive NIS2 encourent des amendes substantielles.

Entités essentielles

risquent des amendes allant jusqu’à 10 millions d’euros ou 2 % de leur chiffre d’affaires global*.

Entités importantes

risquent des amendes allant jusqu’à 10 millions d’euros ou 2 % de leur chiffre d’affaires global*.

^{*Pour toutes les entités, c’est le montant le plus élevé des deux qui sera appliqué.}

En sus, des sanctions non pécuniaires peuvent également être imposées aux organisations en infraction. Ces mesures incluent des injonctions de conformité, des directives contraignantes, des obligations de notification et de rapport aux parties concernées, ainsi que la mise en place de mesures découlant des conclusions d’audits de sécurité.

Comment puis-je m’assurer que je respecte la directive NIS2 ?

Malgré les ajustements en cours au NIS2, nous anticipons que peu de changements majeurs surviendront et les entreprises devraient dès lors commencer à mobiliser leurs départements en vue de se conformer à cette nouvelle directive. Voici quelques démarches préconisées :

Identifier les entités opérationnelles, les départements et les filiales inclus dans le champ d’application du NIS2.

Évaluer la situation actuelle de la gestion des risques et de la cybersécurité au sein de votre organisation pour cerner les zones de lacunes nécessitant rectification en vue de garantir la conformité.

Consulter vos conseillers juridiques pour mettre en place un calendrier et une stratégie de conformité au NIS2.

Entrer en contact avec votre chaîne d’approvisionnement et les tiers cruciaux afin de les sensibiliser à la directive NIS2 et de collaborer pour aborder les nouvelles dimensions liées aux risques dans la chaîne d’approvisionnement et chez les tiers conformément au NIS2.

Travailler de concert avec les responsables de service et les parties prenantes majeures pour vous assurer de leur adhésion à la stratégie et de leur capacité à mobiliser les ressources, les systèmes et les services en temps voulu.

Questions fréquemment posées sur NIS2

Pourquoi n'ai-je jamais entendu parler de NIS ou de NIS 1 ?

NIS 1, aussi connu sous le nom de NIS, a été d’abord instauré en 2016, cependant son champ d’application était restreint par rapport à NIS 2, notamment en ce qui concerne les entreprises visées.

De plus, NIS se contentait d’imposer une mise en œuvre minimale et des sanctions moins rigoureuses en cas de non-conformité.

Quelles sont les principales différences entre NIS et NIS2 ?

En plus de son expansion notable du spectre des entreprises soumises à la directive NIS2, cette nouvelle directive introduit également des sanctions nettement plus sévères et détaille des règles et mesures d’application plus rigoureuses mises à la disposition des organismes de régulation pour garantir la conformité des entreprises avec NIS2.

Ces mesures comprennent spécifiquement des pouvoirs d’investigation et de surveillance :
• Inspections in situ
• Audits de sécurité
• Requêtes d’informations complémentaires pour évaluer les mesures de cybersécurité mises en place par une organisation
• Analyses de sécurité
• Demandes de preuves et d’informations visant à évaluer les politiques de gestion des risques et de cybersécurité, les données, la documentation et autres informations.

Les entités qualifiées d’essentielles peuvent être soumises à des audits et inspections à tout moment. En revanche, les entités classées comme importantes ne peuvent faire l’objet d’une enquête qu’après survenance d’un incident.

Dois-je m'intéresser à NIS2 même si je ne fais pas partie de l'UE ?

Même si des ajustements au NIS2 sont encore à prévoir, notre point de vue est que le NIS2 pourrait englober toutes les entreprises opérant au sein de l’Union européenne.

C2i OUTREMER vous accompagne

Les approches prises par les organisations pour se conformer diffèrent en fonction de leur environnement, de leurs systèmes de contrôle et politiques de sécurité existants, ainsi que de leur stratégie actuelle de gestion des risques.

Si votre stratégie de cybersécurité et de cyber-résilience est déjà robuste, il est possible que peu de changements majeurs soient nécessaires.

En revanche, pour les petites entités ou les départements disposant de ressources plus limitées, cela pourrait représenter un défi plus considérable.

Contactez-nous