NIS2 est la deuxième version de la directive européenne sur la sécurité des réseaux et de l’information (NIS), et c’est la principale norme de cybersécurité dans l’UE. NIS2 met à jour la NIS en élargissant les secteurs concernés par la loi et ses exigences. D’ici le 17 octobre 2024, les États membres de l’UE sont tenus de mettre en œuvre NIS2 dans leurs lois nationales, de sorte que toutes les organisations concernées par NIS2 doivent être en conformité d’ici le quatrième trimestre 2024.
NIS2 crée un ensemble standard d’exigences en matière de cybersécurité pour les organisations fournissant des services essentiels ou importants aux États membres de l’UE. Ce faisant, il réduit le risque que les cyberattaques contre ces organisations puissent avoir des répercussions importantes pour les citoyens de l’UE.
La directive NIS2 classe les secteurs en entités essentielles et importantes. Voici des exemples d’entités essentielles (EE) :
NIS2 a également un impact sur des entités importantes (IE), telles que :
Outre les secteurs, la conformité NIS2 est également affectée par la taille de l’organisation. En général, les EE doivent avoir au moins 250 employés et un chiffre d’affaires annuel supérieur à 50 millions d’euros ou un bilan de 43 millions d’euros. Les EI doivent généralement avoir au moins 50 salariés et un chiffre d’affaires annuel ou un bilan d’au moins 10 millions d’euros. Cependant, ces règles varient selon les secteurs. En outre, les entreprises qui sont le seul fournisseur d’un service particulier dans un État membre de l’UE peuvent être classées comme EE ou IE, quelle que soit leur taille.
NIS2 crée quatre ensembles d’exigences organisationnelles de haut niveau, notamment :
De plus, il spécifie un ensemble de dix exigences minimales, qui comprennent :
NIS2 définit différents types de pénalités qui peuvent être imposées à une organisation en cas de non-conformité, notamment :
La directive NIS2 est conçue pour limiter le risque que les cyberattaques contre des entités essentielles et importantes au sein de l’UE n’aient d’impact sur leur capacité à fournir des services aux citoyens de l’UE. Cette mise à jour de la NIS originale élargit la portée de la directive, met en œuvre des exigences mises à jour et donne aux organismes de réglementation le pouvoir d’imposer des pénalités supplémentaires et plus strictes aux organisations qui ne se conforment pas à ses exigences.
Atteindre la conformité à la directive NIS2 dans les délais du 4e trimestre 2024 est essentiel pour toutes les organisations concernées et nécessite la mise en œuvre d’un programme de cybersécurité robuste. Check Point offre un soutien aux entreprises qui tentent d’atteindre cet objectif et d’autres objectifs de cybersécurité par le biais de son programme Infinity Global Services.
L’évaluation de l’état de préparation NIS2/DORA de Check Point consiste en une évaluation sur site par des consultants principaux de Check Point de la conformité existante d’une organisation à la directive NIS2. Sur la base de cette évaluation, Check Point fournit des conseils sur la manière dont les organisations peuvent combler le manque de sécurité identifié et atteindre la conformité à la norme. Pour plus d’informations sur la façon d’atteindre vos objectifs de conformité NIS2 avant la date limite, contactez-nous.