NIS... quoi ? La nouvelle directive européenne NIS2 est le successeur de la directive NIS (Network and Information Security Directive) et entrera en vigueur le 17 octobre 2024. Vous avez une organisation au Royaume-Uni qui a des partenariats en Europe ? Cet article s'applique également à vous. Le 17 octobre 2024 peut sembler lointain, mais la nouvelle directive couvre beaucoup plus de secteurs que l'ancienne directive NIS. Faites-vous partie des secteurs importants et essentiels ? Dans ce cas, vous devrez prendre des mesures plus strictes en matière de sécurité de l'information, d'audit des fournisseurs et de notification des incidents. Nous vous expliquons ce que signifie la directive NIS2, à quels secteurs la nouvelle norme s'applique et comment votre organisation peut se préparer dès maintenant grâce à un bon système de gestion des risques et des audits.
En tant qu'organisation, vous avez peut-être mis de l'ordre dans votre cybersécurité. Ce serait tout à fait unique, compte tenu du nombre d'incidents de cybersécurité qui continuent d'augmenter à un rythme rapide. Selon une étude de Positive Technologies, les cybercriminels externes peuvent pénétrer dans 93 % des réseaux d'entreprise.
Ce qui se passe ensuite peut avoir des conséquences dramatiques. Il suffit de penser à l'interruption du processus de production ou des services, à l'impossibilité de payer une rançon et à la violation d'informations sensibles. La cybercriminalité ne vise plus seulement les grandes organisations, mais aussi les "petites" : 43 % des cyberattaques ciblent les petites entreprises.
Cybersecurity Magazine donne des chiffres plus inquiétants :
Les organisations savent donc souvent que les menaces existent, mais le pas à franchir pour y faire face est souvent trop grand. Heureusement, la législation en la matière devient de plus en plus stricte.
La cybersécurité est extrêmement importante pour la protection de notre société. C'est pourquoi l'Union européenne a introduit la directive sur la sécurité des réseaux et de l'information en 2016. Il y aura désormais une nouvelle directive - la ligne directrice NIS2 - pour protéger et améliorer la cybersécurité et la résilience des entreprises et des services clés dans l'UE.
La raison n'est pas difficile à deviner : ces dernières années, il est apparu clairement que plusieurs évolutions mondiales menaçaient notre société et notre économie. Il ne s'agit pas seulement des cybermenaces, mais aussi, par exemple, de menaces telles que COVID-19, la guerre en Ukraine, plus récemment le conflit ravivé dans la bande de Gaza et le changement climatique.
La ligne directrice NIS2 vise à améliorer la résilience numérique et économique des États membres de l'UE et est actuellement en cours de transposition dans la législation nationale. Entre-temps, le délai officiel pour la mise en œuvre de la ligne directrice NIS2 est connu : le 17 octobre 2024, la directive entrera en vigueur. Les États membres ont jusqu'à cette date pour tout régler dans leur propre législation.
D'accord, mais qu'est-ce que la nouvelle directive implique exactement pour vous, en tant qu'organisation britannique menant des activités dans l'UE ? Une étude réalisée en 2023 par Intrakoop (coopérative d'achat de soins de santé) a révélé que 60 % des professionnels de la santé interrogés n'avaient jamais entendu parler de la directive NIS2....
Il est important d'être préparé et de savoir ce que l'on attend de vous. Après tout, ce qui est dit n'est pas rien. Nous résumons donc pour vous les choses les plus importantes que vous devez savoir sur le NIS2.
L'ancienne ligne directrice NIS 2016 se concentrait uniquement sur les activités essentielles pour la société, telles que les secteurs de la santé et de l'énergie. La nouvelle ligne directrice NIS2 est beaucoup plus complète et inclut les entreprises importantes pour la société. Pensez aux fournisseurs d'accès à internet et aux fournisseurs de services numériques, mais aussi aux agences gouvernementales.
Toutes les organisations qui seront couvertes par la ligne directrice NIS2 seront donc classées comme"essentielles" ou"importantes". La différence entre les deux catégories réside dans la manière dont elles sont appliquées. Ainsi, si vous êtes une organisation d'un secteur essentiel qui ne respecte pas les règles, vous serez sanctionné plus sévèrement que si votre organisation relève de la catégorie "important". Une autre différence réside dans le fait que les entités essentielles feront également l'objet d'une surveillance préalable.
Vous relevez d'un des secteurs mentionnés ci-dessus ? Dans ce cas, vous devez vous conformer à un devoir de diligence et à un devoir de notification. Remarque : à l'exception des entreprises employant moins de 50 personnes et dont le chiffre d'affaires annuel et le total du bilan sont inférieurs à 10 millions d'euros.
Si vous relevez de la ligne directrice NIS2, vous serez en outre soumis à une supervision. Un régulateur indépendant veillera à ce que votre organisation respecte l'obligation de diligence et de notification.
Le NIS2 vise à améliorer la cybersécurité des États membres de l'UE ainsi que des organisations d'autres pays opérant dans l'UE de plusieurs manières : en renforçant les exigences de sécurité, en abordant la sécurité de la chaîne d'approvisionnement, en rationalisant les exigences en matière de rapports, etc.
La gestion des risques est un élément important du NIS2. Le mot est mentionné pas moins de 144 fois ( !) dans la version finale du NIS2. Les risques décrits dans le NIS2 concernent principalement les menaces numériques, mais cela ne s'arrête pas là. La nouvelle ligne directrice mentionne également des risques tels que les risques naturels et les risques liés à l'activité humaine. Pensez aux catastrophes naturelles, aux attaques terroristes et aux situations d'urgence telles que les pandémies.
Des outils tels que Zenya RISK permettent de cartographier ces risques. Grâce à ce logiciel, vous avez une meilleure idée des risques clés et vous pouvez facilement les identifier, les contrôler, les surveiller et les démontrer. Parce que vos collègues doivent comprendre quel sera leur rôle dans le respect de la NIS2, un système de gestion des risques actualisé peut contribuer à accroître la sensibilisation aux risques au sein de votre organisation. De cette manière, la gestion des risques n'est plus seulement le fait des personnes responsables de la sécurité, mais de tous les membres de l'organisation.
Lorsque le NIS2 entrera en vigueur, il ne suffira plus à votre organisation d'être conforme. Vous devrez également prendre en compte les risques de sécurité dans vos chaînes d'approvisionnement et vos relations avec les fournisseurs. En effet, même si vous êtes totalement sûr de vous, une erreur de l'un de vos fournisseurs essentiels pourrait entraîner l'interruption de vos services. Cela pourrait avoir un impact tout aussi important que si vous commettiez l'erreur vous-même.
Supposons qu'en tant que producteur d'électricité, vous achetiez de nouvelles turbines éoliennes à un fournisseur pour augmenter votre capacité, et que ce fournisseur soit victime d'une attaque par ransomware. En tant que fournisseur d'un service essentiel, vous ne pouvez pas augmenter votre capacité. Vous devez donc également définir ce que vous attendez de vos fournisseurs. Demandez-vous simplement le certificat ISO 27001 chaque année, et sont-ils bons ? Envoyez-vous un questionnaire les interrogeant sur leurs mesures de sécurité ? Ou bien leur rendez-vous visite pour les auditer ? Vous devrez réfléchir soigneusement à tout cela et le documenter lorsque votre organisation sera bientôt soumise au NIS2.
Heureusement, chez Infoland , nous constatons que les organisations sont de plus en plus conscientes de l'importance des fournisseurs pour leur activité principale. Les organisations contrôlent de plus en plus leurs fournisseurs, et nous nous attendons à ce que cette tendance s'accentue encore avec la directive NIS2. Le degré d'audit des fournisseurs dépend de l'importance de l'organisation. Plus l'organisation est importante, plus l'audit doit être intense et fréquent. Bien que le NIS2 concerne principalement la sécurité, la directive est évidemment beaucoup plus large que cela et vous devrez donc procéder à des audits dans ce sens également.
Avec un système de gestion d'audit intelligent, tel que Zenya CHECK, vous sécurisez ce processus. Vous bénéficiez de calendriers clairs, de calendriers de tâches automatiques incluant des notifications et des rapports clairs. Grâce à ce système de gestion des audits, vous pouvez vous concentrer sur une norme spécifique, telle que la directive NIS2, et vous y conformer de manière optimale.
La plupart des organisations ont encore beaucoup de travail à faire. Même si vous disposez d'un bon logiciel de sécurité, même si les risques les plus importants ont été identifiés et même si vous examinez régulièrement les fournisseurs, pour vous conformer à la nouvelle loi, vous devrez en faireplus. Il faut par exemple sensibiliser les employés aux nouvelles réglementations.
Vous savez peut-être ce que cela signifie, mais une grande partie de vos collègues n'ont jamais entendu parler du NIS2 ou pensent qu'il ne s'applique pas à votre organisation. Vous pouvez sensibiliser vos employés en organisant des formations et des séances d'information, et en leur donnant l'occasion de se familiariser avec le NIS2. De cette manière, l'apprentissage reste ludique et vos collègues ne sont pas submergés d'informations.
Conformité NIS2. (2023, 10 octobre). NIS2 guideline cyber security directive - digital government https://www.dataguard.co.uk/nis2-compliance/
Business.gov.co.uk (2023, 18 octobre). Quels sont les secteurs et les organisations couverts par la directive NIS2 ? h ttps://business.gov.nl/amendment/nis2-directive-protects-network-information-systems/
Directive NIS 2. Qu'est-ce que le NIS2 ? https://www.nis-2-directive.com/
Nomios Belgique. (2023). Qu'est-ce que NIS2 et qu'est-ce que cela signifie pour votre organisation ? https://www.nomios.be/en/resources/what-is-nis2/
Demandez la brochure pour avoir toutes les informations à portée de main.
Vous voulez voir ce que Zenya peut faire pour votre organisation ? Demandez une démonstration gratuite.
Contactez nos experts sans engagement ! Nous nous ferons un plaisir de réfléchir avec vous.
