Qu'est-ce que NIS2 et qu'est-ce que cela signifie pour ton organisation ?

Ces dernières années, nous avons constaté une forte augmentation du nombre de cyberattaques et d'incidents en Europe. En particulier, le phishing, les logiciels malveillants et les ransomwares constituent un problème majeur. Les cyberattaques peuvent avoir un impact significatif sur les sociétés, car nous dépendons fortement d'une infrastructure numérique qui fonctionne bien, tant au niveau professionnel que personnel. Comme nous travaillons tous principalement de manière numérique, la cybersécurité est une exigence de base plutôt qu'une option.

Pour renforcer la cybersécurité à l'échelle européenne, le Parlement européen a approuvé le 10 novembre 2022 une nouvelle loi sur la cybersécurité : la NIS2. Mais en quoi consiste exactement le NIS2 ? À quels secteurs s'applique-t-elle ? Et que signifie son introduction pour votre organisation ? Vous pouvez en savoir plus à ce sujet dans cet article.

Qu'est-ce que la directive NIS2 ?

En 2016, l'UE a introduit la directive sur la sécurité des réseaux et de l'information (NIS). Cette NIS1 fixe des exigences strictes en matière de cybersécurité pour les entreprises dites "essentielles". Il s'agit par exemple des entreprises du secteur de l'eau, de l'énergie et des télécommunications. La NIS2 complète et étend la directive en désignant davantage d'entreprises comme entreprises essentielles. Au total, elle concerne quelque 160 000 organisations en Europe.

Les principaux éléments du NIS2 sont les suivants :

  • Sur la base de l'importance pour l'économie et la société, la nouvelle directive couvre davantage de secteurs. Les moyennes et grandes entreprises de certains secteurs sont incluses dans la proposition. En même temps, elle donne aux États membres une certaine souplesse pour identifier les petites entreprises présentant un profil à haut risque.

  • La directive renforce les exigences de sécurité pour les entreprises en imposant une approche de gestion des risques. Celle-ci s'appuie sur une liste de bases minimales à appliquer dans le domaine de la cybersécurité.

  • Le NIS2 ne fait plus de distinction entre les opérateurs de services essentiels et les fournisseurs de services numériques. Les organisations sont classées en fonction de leur importance et divisées en catégories essentielles et importantes, de sorte qu'elles sont soumises à des régimes de surveillance différents.

  • Les entreprises individuelles doivent aborder les risques de sécurité dans les chaînes d'approvisionnement et les relations avec les fournisseurs.

  • Les autorités nationales seront soumises à des mesures de surveillance renforcées, à des exigences plus strictes en matière d'application des mesures de sécurité et à une harmonisation des régimes de sanction et des obligations de déclaration dans les États membres.

Quand et à qui s'applique le NIS2 ?

Le NIS2 s'applique à toute organisation qui fournit un service essentiel aux consommateurs. Il s'agit par exemple des fournisseurs d'accès à Internet, des fournisseurs d'énergie, des entreprises de distribution d'eau potable, des entreprises de traitement des déchets, des banques, des transporteurs, des établissements de santé et des usines produisant des denrées alimentaires ou des articles ménagers importants. Les entreprises non essentielles comptant moins de 50 employés et réalisant un chiffre d'affaires inférieur à 10 millions d'euros n'ont pas à se soucier de la nouvelle législation.

Le NIS2 peut classer les organisations comme essentielles ou importantes. La plus grande différence entre les organisations essentielles et importantes ? Le contrôle de la conformité. Pour les fournisseurs essentiels, principalement les parties des secteurs vitaux néerlandais, le contrôle sera bientôt proactif. Cela signifie que les superviseurs vérifient si ces organisations appliquent et se conforment correctement. Pour les fournisseurs essentiels, la surveillance a lieu après coup s'il existe des indices d'un cyberincident.

La nouvelle législation a un champ d'application plus large (plus de secteurs et plus d'organisations) que la directive NIS1 et vise à égaliser et à accroître la résilience numérique dans les États membres de l'UE. La directive NIS2 devrait être inscrite dans la loi aux Pays-Bas en septembre 2024 au plus tard. "Pour de nombreuses PME, NIS2 n'aura aucun impact, sauf si vous êtes essentiel. Alors vous devrez être certifié et vous recevrez des visites plus fréquentes d'un régulateur", a expliqué Bart Groothuis, membre du Parlement européen.

Placeholder for From NIS to NIS2From NIS to NIS2

Quel est l'impact de la nouvelle législation ?

Votre organisation est-elle identifiée comme essentielle ? Et ne vous conformez-vous pas aux exigences du NIS2 ? Dans ce cas, vous risquez des amendes pouvant aller jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial total. Les personnes ayant une autorité ou un rôle (de gestion) en matière de cybersécurité peuvent être tenues personnellement responsables de la non-conformité.

Une préparation minutieuse

Bien que le NIS2 n'entre pas en vigueur pour l'instant, il est important d'être prêt pour la nouvelle législation bien avant septembre 2024. Heureusement, il y a beaucoup de choses que vous pouvez faire pour faire passer votre cybersécurité au niveau supérieur. Pensez, par exemple, à adopter un concept tel que la sécurité dès la conception, ce qui signifie que lorsque vous mettez un système ou une application en service ou que vous configurez votre infrastructure informatique, vous tenez compte de la cybersécurité dès la conception et les premières étapes.

L'application systématique de l'authentification multifactorielle (MFA), l'élaboration d'un cadre solide pour la gestion des identités et des accès (IAM) et la réduction de la surface d'attaque numérique contribuent également à accroître votre niveau de sécurité numérique.

Voici comment Nomios peut vous aider

Avez-vous du mal à répondre aux exigences strictes en matière de cybersécurité ? Et vous trouvez que c'est un défi de préparer votre organisation pour le NIS2 ? Alors Nomios est heureux de vous aider. Nous sommes un spécialiste reconnu de la cybersécurité et des réseaux et nous disposons des connaissances et des solutions pour vous aider à répondre aux exigences du NIS2.

Aide avec NIS2

Une sélection de nos services et solutions

Contactez nos experts !Notre équipe est à votre entière disposition

Vous voulez en savoir plus sur ce sujet ? Laissez un message ou votre numéro de téléphone et nous vous rappellerons. Nous nous réjouissons de pouvoir vous aider davantage.

Plus de nouveautés