What is the NIS2 Directive?

NIS2 est la deuxième version de la directive européenne sur la sécurité des réseaux et de l’information (NIS), et c’est la principale norme de cybersécurité dans l’UE. NIS2 met à jour la NIS en élargissant les secteurs concernés par la loi et ses exigences. D’ici le 17 octobre 2024, les États membres de l’UE sont tenus de mettre en œuvre NIS2 dans leurs lois nationales, de sorte que toutes les organisations concernées par NIS2 doivent être en conformité d’ici le quatrième trimestre 2024.

Infinity Global Services CONTACTER UN EXPERT

What is the NIS2 Directive?

L’importance de la directive NIS2

NIS2 crée un ensemble standard d’exigences en matière de cybersécurité pour les organisations fournissant des services essentiels ou importants aux États membres de l’UE. Ce faisant, il réduit le risque que les cyberattaques contre ces organisations puissent avoir des répercussions importantes pour les citoyens de l’UE.

Secteurs concernés par la directive NIS2

La directive NIS2 classe les secteurs en entités essentielles et importantes. Voici des exemples d’entités essentielles (EE) :

  • Energy
  • Transport
  • Finances
  • Administration publique
  • Santé
  • Espace
  • Approvisionnement en eau
  • Infrastructure numérique

NIS2 a également un impact sur des entités importantes (IE), telles que :

  • Services postaux
  • Gestion des déchets
  • Produits chimiques
  • Recherches
  • Nourriture
  • Fabrication
  • Fournisseurs numériques

Outre les secteurs, la conformité NIS2 est également affectée par la taille de l’organisation. En général, les EE doivent avoir au moins 250 employés et un chiffre d’affaires annuel supérieur à 50 millions d’euros ou un bilan de 43 millions d’euros. Les EI doivent généralement avoir au moins 50 salariés et un chiffre d’affaires annuel ou un bilan d’au moins 10 millions d’euros. Cependant, ces règles varient selon les secteurs. En outre, les entreprises qui sont le seul fournisseur d’un service particulier dans un État membre de l’UE peuvent être classées comme EE ou IE, quelle que soit leur taille.

Quelles sont les exigences NIS2 ?

NIS2 crée quatre ensembles d’exigences organisationnelles de haut niveau, notamment :

  • Gestion du risque: Les organisations doivent gérer leurs cyber-risques par le biais de la réponse aux incidents, de la sécurité de la chaîne d’approvisionnement, de la sécurité des réseaux, du contrôle d’accès et de l’utilisation du chiffrement.
  • Responsabilité de l’entreprise : La direction de l’entreprise est responsable de la sécurité de l’organisation et doit jouer un rôle actif et éclairé dans la gestion des cyberrisques.
  • Obligations en matière de rapports : NIS2 définit les exigences de signalement des incidents de sécurité importants, y compris une « alerte précoce » 24 heures sur 24.
  • Continuité des activités : Les organisations touchées doivent avoir mis en place des stratégies de continuité des activités, y compris la création de plans de rétablissement, de procédures d’urgence et d’une équipe d’intervention en cas de crise.

De plus, il spécifie un ensemble de dix exigences minimales, qui comprennent :

  1. Effectuer des évaluations des risques et mettre en œuvre des politiques de sécurité pour les systèmes informatiques.
  2. Mettre en œuvre des politiques et des procédures pour l’utilisation de la cryptographie et du chiffrement.
  3. Sécurisation et gestion de la vulnérabilité dans l’approvisionnement du système.
  4. Mettre en place des procédures de sécurité pour les utilisateurs qui peuvent accéder aux données sensibles.
  5. Utilisation de l’authentification multifacteurs (MFA), de l’authentification continue et des communications cryptées le cas échéant.
  6. Évaluer l’efficacité des contrôles de sécurité mis en place.
  7. Planification de la détection et de la réponse aux incidents.
  8. Formation des employés à l’hygiène informatique de base.
  9. Planification de la continuité des activités et de la reprise après sinistre (sauvegardes, accès continu, etc.)
  10. Sécuriser la chaîne d’approvisionnement et comment l’entreprise gère la vulnérabilité potentielle dans les relations avec les tiers.

Sanctions en cas de violation de la norme NIS2

NIS2 définit différents types de pénalités qui peuvent être imposées à une organisation en cas de non-conformité, notamment :

  • Sanctions non pécuniaires : Les autorités de surveillance nationales sont autorisées à obliger les organisations à se mettre en conformité, à suivre des instructions contraignantes, à effectuer un audit de sécurité ou à informer leurs clients d’une menace potentielle.
  • Amendes administratives : Les sanctions administratives dépendent du type d’entité. Les EE sont passibles d’amendes d’un montant supérieur à 10 millions d’euros ou à 2 % du chiffre d’affaires annuel mondial, selon le montant le plus élevé. Les IE peuvent se voir infliger une amende pouvant aller jusqu’à 7 millions d’euros, soit 1,4 % du chiffre d’affaires annuel mondial.
  • Sanctions pénales : En cas de négligence grave, NIS2 permet à la direction d’être tenue personnellement responsable des incidents de sécurité. Il s’agit notamment d’ordonner à l’entreprise de rendre publiques les violations de la conformité, d’indiquer publiquement quelle violation a été commise et qui est en faute, et d’interdire temporairement aux personnes d’occuper des postes de direction.

Assurez-vous que votre entreprise est en conformité avec le NIS2 avec IGS

La directive NIS2 est conçue pour limiter le risque que les cyberattaques contre des entités essentielles et importantes au sein de l’UE n’aient d’impact sur leur capacité à fournir des services aux citoyens de l’UE. Cette mise à jour de la NIS originale élargit la portée de la directive, met en œuvre des exigences mises à jour et donne aux organismes de réglementation le pouvoir d’imposer des pénalités supplémentaires et plus strictes aux organisations qui ne se conforment pas à ses exigences.

Atteindre la conformité à la directive NIS2 dans les délais du 4e trimestre 2024 est essentiel pour toutes les organisations concernées et nécessite la mise en œuvre d’un programme de cybersécurité robuste. Check Point offre un soutien aux entreprises qui tentent d’atteindre cet objectif et d’autres objectifs de cybersécurité par le biais de son programme Infinity Global Services.

 

L’évaluation de l’état de préparation NIS2/DORA de Check Point consiste en une évaluation sur site par des consultants principaux de Check Point de la conformité existante d’une organisation à la directive NIS2. Sur la base de cette évaluation, Check Point fournit des conseils sur la manière dont les organisations peuvent combler le manque de sécurité identifié et atteindre la conformité à la norme. Pour plus d’informations sur la façon d’atteindre vos objectifs de conformité NIS2 avant la date limite, contactez-nous.

×
  Commentaires
Ce site web utilise des cookies pour sa fonctionnalité et à des fins d'analyse et de marketing. En continuant à utiliser ce site web, vous acceptez l'utilisation de cookies. Pour plus d'informations, veuillez lire notre avis sur les cookies.
OK