Plus de règles, plus de portée

NIS2 (PDF) est une extension de la précédente directive NIS créée par les institutions européennes depuis 2016. Elle se concentre sur la création d'une large sensibilisation à la cybersécurité afin d'aider les gouvernements et les entreprises à mieux se défendre contre les cybermenaces de plus en plus complexes d'aujourd'hui et de demain.

La nouvelle directive place également les sous-traitants et les prestataires de services (qui ont accès à votre infrastructure critique) sous l'égide de la réglementation. Désormais, ils doivent eux aussi se conformer à des obligations plus strictes en matière de cybersécurité s'ils veulent travailler avec votre organisation. En fait, ce groupe avait été oublié dans la première version de la directive.

Principales différences entre le NIS1 et le NIS2

La directive NIS1 fixait déjà des exigences strictes pour les "entreprises essentielles" telles que les entreprises de distribution d'eau, d'énergie et de télécommunications. La directive NIS2 va plus loin et s'applique à un plus grand nombre d'organisations, y compris de nombreuses moyennes et grandes entreprises.

L'une des principales caractéristiques du NIS2 est son approche plus concrète, grâce à une liste d'indicateurs de performance. les garanties de base minimales que les entreprises doivent mettre en œuvre :

1. Analyse des risques et politique de sécurité de l'information
2. Traitement des incidents (prévention, détection et réponse aux incidents)
3. Continuité des activités et gestion des crises
4. Sécurité de la chaîne d'approvisionnement
5. Sécurité des réseaux et des systèmes d'information
6. Politiques et procédures relatives aux mesures de gestion des risques liés à la cybersécurité
7. L'utilisation de la cryptographie/du chiffrement

Elle permet également aux autorités nationales de les contrôler et de les faire respecter de manière plus stricte. Les amendes peuvent être considérables. Pour les entités essentielles, elles peuvent s'élever à 2% du chiffre d'affaires mondial, soit jusqu'à 10 millions d'euros !

Comment se préparer au NIS2 et aux sanctions potentielles ?

Le NIS2 exige des organisations qu'elles prennent des mesures adéquates dans des domaines tels que la gestion des cyberrisques, les tests de pénétration, la réponse aux incidents et la récupération. Votre organisation doit donc identifier tous les risques et s'armer encore mieux contre les menaces. Vous devrez également sensibiliser votre équipe aux obligations légales afin d'éviter les amendes.

Des points de contrôle ou des audits menés par les régulateurs permettront de vérifier de manière stricte si le niveau de sécurité est conforme à la réglementation. Le fait de ne pas mettre en œuvre correctement certaines mesures de sécurité aura donc des conséquences majeures ; non seulement vous courrez un risque supplémentaire de piratage, mais - comme pour les infractions au GDPR - les sanctions financières seront basées sur le chiffre d'affaires global de votre organisation.

Il est important de comprendre comment ces nouveaux règlements peuvent affecter votre organisation et de prendre les mesures nécessaires pour les respecter. Ligne directrice NIS2 se conformer. La cybersécurité n'est plus un choix, c'est une nécessité. Vous souhaitez être accompagné dans cette démarche ? N'hésitez pas à faire appel à nos experts certifiés pour vous aider et/ou vous fournir un NIS2 approfondi. Audit de sécurité Le projet doit être mené à bien afin d'aboutir à un plan d'action concret :