Ces dernières années, nous avons constaté une forte augmentation du nombre de cyberattaques et d'incidents en Europe. En particulier, le phishing, les logiciels malveillants et les ransomwares constituent un problème majeur. Les cyberattaques peuvent avoir un impact considérable sur les sociétés, car nous dépendons fortement d'une infrastructure numérique qui fonctionne bien, tant au niveau professionnel que personnel. Comme nous travaillons tous désormais essentiellement de manière numérique, la cybersécurité est une exigence de base plutôt qu'une option.
Pour renforcer la cybersécurité dans toute l'Europe, le Parlement européen a voté pour adopter la directive révisée sur les réseaux et les systèmes d'information 2022/0383, plus connue sous le nom de "NIS2". NIS2 vise à étendre, renforcer et harmoniser la mise en œuvre du cadre de cybersécurité existant de l'UE. Elle constitue un élément important de la stratégie de cybersécurité de l'UE et s'inscrit dans la priorité de la Commission européenne de préparer l'Europe à l'ère numérique.
Qu'est-ce que la directive NIS2 ?
En 2016, l'UE a introduit la directive sur la sécurité des réseaux et des systèmes d'information (directive NIS). Cette NIS1 fixe des exigences strictes en matière de cybersécurité pour les entreprises dites "essentielles". Il s'agit par exemple des entreprises du secteur de l'eau, de l'énergie et des télécommunications. La NIS2 complète et étend la directive qui désigne davantage d'entreprises comme entreprises essentielles. Au total, elle concerne environ 160 000 organisations dans toute l'Europe.
Les principaux éléments du NIS2 sont les suivants :
Compte tenu de son importance pour l'économie et la société, la nouvelle directive couvre davantage de secteurs et révise la manière dont les entreprises sont classées dans la directive NIS. Les moyennes et grandes entreprises de certains secteurs sont incluses dans la proposition. En même temps, elle donne aux États membres une certaine souplesse pour identifier les petites entreprises présentant un profil de risque élevé.
L'accent est davantage mis sur les organes directeurs des entreprises entrant dans le champ d'application, ce qui oblige les États membres à veiller à ce que ces organes directeurs puissent être tenus responsables des violations par l'entité des dispositions relatives à ces mesures.
La directive renforce les exigences de sécurité pour les entreprises en imposant une approche de gestion des risques et en décrivant les principales mesures de cybersécurité que toutes les organisations couvertes doivent mettre en œuvre.
La NIS2 ne fait plus de distinction entre les opérateurs de services essentiels et les fournisseurs de services numériques. Les organisations seront classées en fonction de leur importance et divisées en catégories essentielles et importantes, ce qui aura pour conséquence de les soumettre à des régimes de surveillance différents.
Les obligations de signalement des incidents seront considérablement modifiées et les sanctions en cas de non-respect seront renforcées.
Les entreprises individuelles devront aborder les risques de sécurité dans les chaînes d'approvisionnement et les relations avec les fournisseurs.
Il y aura des mesures de surveillance plus strictes pour les autorités nationales, des exigences plus strictes pour l'application des mesures de sécurité et l'harmonisation des régimes de sanction et des obligations de déclaration dans les États membres, ainsi qu'une coopération et un échange d'informations renforcés entre les États membres.
Quand et à qui s'applique le NIS2 ?
Le NIS2 s'applique à toute organisation opérant ou exerçant ses activités dans l'UE qui fournit un service essentiel aux consommateurs (ce qui signifie qu'elle répond à la description d'une entité "essentielle" ou "importante" dans une liste particulière de secteurs). Les exemples incluent les fournisseurs d'Internet, les fournisseurs d'énergie, les entreprises d'eau potable, les entreprises de traitement des déchets, les banques, les transporteurs, les établissements de santé et les usines produisant des aliments ou des articles ménagers importants. Parmi les exceptions notables, citons les petites entreprises qui peuvent être considérées comme essentielles mais qui ne respectent pas une limite de taille (elles devraient avoir des revenus annuels de 10 millions d'euros et/ou moins de 50 employés) et d'autres entités explicitement exclues par les États membres.
Le NIS2 peut étiqueter les organisations comme essentielles ou importantes - qui sont soumises aux mêmes exigences de gestion de la cybersécurité et de signalement des incidents dans le cadre du NIS. La plus grande différence entre les organisations essentielles et importantes ? Le contrôle de la conformité. Pour les fournisseurs essentiels, principalement les parties des secteurs vitaux, la surveillance devra être strictement proactive et clairement reflétée dans leurs processus. Cela signifie que les superviseurs vérifient si ces organisations appliquent et respectent correctement la directive. Pour les principaux fournisseurs, la surveillance aura lieu rétrospectivement s'il existe des indices d'un cyberincident.
La nouvelle législation a un champ d'application plus large (plus de secteurs et plus d'organisations) que la directive NIS1 et vise à égaliser et à augmenter la résilience numérique dans les États membres de l'UE. La directive NIS2 devrait être inscrite dans la loi en septembre 2024 au plus tard. "Pour de nombreuses PME, NIS2 n'aura aucun impact, sauf si tu es indispensable. Alors tu devras être certifié et tu recevras des visites plus fréquentes d'un régulateur", a expliqué l'eurodéputé VVD Bart Groothuis.
Quel est l'impact de la nouvelle législation ?
Ton organisation est-elle identifiée comme essentielle ? Et tu ne réponds pas aux exigences fixées par le NIS2 ? Alors tu risques des amendes allant jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial total. Les personnes ayant une autorité ou des rôles (de gestion) pertinents en matière de cybersécurité peuvent être tenues personnellement responsables de la non-conformité.
Votre entreprise fournit-elle un service essentiel aux consommateurs ? Alors, vous devez avoir votre cybersécurité en ordre avant le 17 octobre 2024. Cela peut sembler loin, mais avant que vous ne le sachiez, la date limite sera là. Nous serions heureux de vous aider à examiner l'état de la cybersécurité de votre entreprise et de travailler ensemble pour vous assurer que tout est en ordre à temps.
Une sélection de nos services et solutions
![Security automation]()
Managed security services
Améliore ta posture de sécurité tout en réduisant la charge de ton équipe informatique grâce à un partenaire expérimenté.
![Soc]()
Détection et réponse managé
Améliorez vos capacités d'opérations de sécurité tout en réduisant le temps moyen pour détecter et contenir les menaces.
![Compass]()
Conseil en technologie
Grâce à notre expertise en matière de stratégie, d'industrie et d'ingénierie, nous intégrons la technologie dans votre entreprise pour créer quelque chose d'unique, stimuler la croissance et accélérer les résultats.
![Questionnaire]()
Services d'évaluation
Nos services d'évaluation vous fournissent les informations dont vous avez besoin pour comprendre votre environnement, prendre des décisions éclairées et définir des stratégies.
![Book open]()
Services d'éducation et de formation
Nous proposons des programmes de formation personnalisés couvrant toutes les solutions réseau et sécurité de notre portefeuille.
![Lock]()
Solutions de cybersécurité
La sécurité de l’avenir. Aller au-delà de la ligne de front de la cybersécurité.
Notre équipe est à votre entière disposition
Vous voulez en savoir plus sur ce sujet ? Laissez un message ou votre numéro de téléphone et nous vous rappellerons. Nous nous réjouissons de pouvoir vous aider davantage.
Mises à jour connexes
NIS2
NIS2 va demander aux entreprises industrielles d’importants efforts de sécurisation de leurs environnements OT : Par où commencer ?
Des milliers d'entreprises industrielles seront concernées par la mise en œuvre du NIS2, les problèmes variant considérablement d'une entité à l'autre. Nous vous présentons 12 étapes pour vous mettre en conformité.
Arnaud Masson
Cybersécurité
Sécurise ton avenir : Les tendances de la cybersécurité pour 2024
Nous sommes à nouveau à l'aube d'une nouvelle année. Il est temps de tout savoir sur les tendances les plus importantes en matière de cybersécurité pour 2024.
Mohamed El Haddouchi
SOC Cybersécurité
Naviguer dans le paysage de la cybersécurité de 2024 : Principales tendances en matière de sécurité SOC
Un SOC offre les outils et les connaissances en matière de sécurité dont vous avez besoin pour assurer la sécurité de votre environnement informatique. Découvrez les tendances en matière de sécurité des SOC en 2024.
Avinash Shet