La législation NIS2 est entrée en vigueur le 18 octobre 2024 et son introduction apportera des changements majeurs pour les acquisitions actives dans des secteurs critiques au sein de l’Union européenne. Cette nouvelle législation sur la cybersécurité vise à renforcer la résilience numérique de ces organisations. En tant qu’entreprise, il est important que vous sachiez ce que signifie exactement NIS2 et quelles mesures vous devez prendre pour vous conformer aux nouvelles exigences.
La directive NIS2 est une version mise à jour de la directive NIS originale de 2016. Cette nouvelle directive, entrée en vigueur le 17 octobre 2024, vise à renforcer la cybersécurité dans l’Union européenne. NIS2 élargit la portée et impose des exigences plus élevées en matière de sécurité des réseaux et des systèmes d’information des secteurs essentiels et importants.
La ligne directrice NIS2 a une large portée et se concentre sur les organisations des secteurs critiques. La directive fait une distinction entre les entités essentielles et importantes, en fonction de leur taille et du secteur dans lequel elles opèrent.
Les entités essentielles sont de grandes organisations opérant dans des secteurs très critiques tels que l’énergie, les transports, la banque, la santé et l’eau potable. Une organisation est considérée comme grande si elle compte au moins 250 salariés ou un chiffre d’affaires annuel supérieur à 50 millions d’euros et un total de bilan supérieur à 43 millions d’euros. Cela inclut également les organisations qui ont été désignées comme entités critiques selon la directive CER.
Les entités clés sont des organisations de taille moyenne dans des secteurs très critiques et des organisations de grande ou moyenne taille dans d’autres secteurs critiques tels que les services postaux et de messagerie, la gestion des déchets et l’alimentation. Une organisation est de taille moyenne si elle compte au moins 50 salariés ou si son chiffre d’affaires annuel et son total de bilan sont supérieurs à 10 millions d’euros.
Il existe quelques exceptions aux critères de taille. Certaines entités sont couvertes par NIS2 quelle que soit leur taille, comme les fournisseurs de réseaux publics de communications électroniques, les fournisseurs de services de confiance et les fournisseurs de services DNS. Vous pouvez obtenir un aperçu détaillé via le Site Internet du CBB trouver.
Obligations clés dans le cadre de NIS2
La directive NIS2 impose un certain nombre d’obligations cruciales aux entités essentielles et importantes pour renforcer la cybersécurité. Ces mesures visent à gérer les risques, à signaler les incidents et à assurer la sécurité de la chaîne d’approvisionnement.
Mesures de cybersécurité
Les entreprises doivent prendre les mesures techniques, opérationnelles et organisationnelles appropriées pour gérer les risques de cybersécurité. Cela comprend la réalisation d’une analyse approfondie des risques et la mise en œuvre de mesures de sécurité pour prévenir les incidents ou limiter leurs conséquences.
Les aspects importants comprennent :
Élaborer une politique d’analyse des risques et de sécurité des systèmes d’information Élaborer des procédures de traitement des incidents Assurer la continuité de l’activité et la gestion des crises Mettre en œuvre des mesures de sécurité dans la chaîne d’approvisionnement Assurer une formation en cybersécurité du personnel.
L’obtention d’une certification ISO27001 est considérée comme un niveau de sécurité approprié mais n’est pas obligatoire.
Les entités essentielles et importantes sont tenues de signaler les incidents significatifs aux autorités compétentes. Un incident est considéré comme significatif s’il a des conséquences graves sur les services, telles qu’une perturbation importante des opérations commerciales ou des pertes financières. Le signalement doit être effectué dans les 24 heures suivant la prise de conscience, suivi d’un signalement plus détaillé dans les 72 heures.
Gestion des risques dans la chaîne d’approvisionnement
NIS2 oblige les organisations à assurer la sécurité de leur chaîne d’approvisionnement. Cela signifie qu’ils doivent évaluer et gérer les risques de cybersécurité de leurs fournisseurs et prestataires de services. Les aspects importants ici sont :
Effectuer des classifications des risques des services et produits informatiques. Conclure des accords clairs avec les fournisseurs sur les mesures de sécurité. • Tester et réviser régulièrement le plan de politique de la chaîne d’approvisionnement. Plan étape par étape pour la conformité NIS2.
Une approche structurée est nécessaire pour se conformer à la directive NIS2. Il est recommandé de mettre en place un SMSI conforme à la norme ISO27001, mais cela n’est pas obligatoire. Voici un plan pratique étape par étape pour rendre votre organisation conforme à NIS2.
Les entreprises qui relèvent des obligations NIS2 doivent s’enregistrer. Pour la Belgique, cela peut se faire via le Site Internet Safeonweb. Cela devra être fait au plus tard le 18 mars 2025.
La première étape consiste à effectuer une analyse approfondie des lacunes. Cela implique de comparer vos mesures de cybersécurité actuelles avec les exigences de NIS2. Cela vous donne un aperçu des domaines dans lesquels votre organisation échoue encore. Analysez vos contrôles existants et déterminez les lacunes par rapport à NIS2. Incluez les aspects techniques et organisationnels de votre cybersécurité.
Sur la base des résultats de l’analyse des écarts, vous pouvez élaborer un plan d’action. Ce plan doit contenir des mesures concrètes pour combler les lacunes identifiées. Établissez une feuille de route avec des étapes et des délais clairs. Tenez compte des exigences spécifiques du NIS2, telles que la mise en œuvre de l’authentification multifacteur, l’établissement de procédures de réponse aux incidents et la garantie de la sécurité de la chaîne d’approvisionnement.
Mise en œuvre et suivi
Après l’élaboration du plan d’action, vient la phase de mise en œuvre. Mettez en œuvre les mesures prévues étape par étape dans votre organisation. Cela peut inclure la mise à jour des politiques de sécurité, la mise en œuvre de nouvelles technologies ou la formation du personnel. Assurez une approche systématique et documentez soigneusement toutes les mesures prises.
Le suivi est crucial pour garantir l’efficacité des mesures mises en œuvre. Effectuez des audits internes réguliers pour vous assurer que votre organisation répond aux exigences NIS2. Préparez-vous aux audits externes des régulateurs, qui pourraient avoir lieu à partir d’octobre 2024.
Améliorez et adaptez continuellement vos mesures de cybersécurité aux nouvelles menaces et risques. NIS2 nécessite un processus de gestion des risques cyclique, alors assurez-vous de mettre régulièrement à jour votre analyse des risques et d’ajuster vos mesures de sécurité en conséquence.
Conclusion
L’introduction de NIS2 représente une avancée majeure pour la cybersécurité dans l’UE. Cette directive a un impact majeur sur les entités essentielles et importantes, qui doivent désormais répondre à des exigences plus strictes en matière de gestion des risques, de reporting des incidents et de sécurité de la chaîne d’approvisionnement. En suivant une approche structurée, comme réaliser une analyse des écarts et élaborer un plan d’action, les organisations peuvent se préparer à répondre à ces nouvelles obligations.
Il est clair que NIS2 représente un défi important pour de nombreuses entreprises, mais il offre également des opportunités de renforcer la résilience numérique. En agissant de manière proactive et en prenant les mesures nécessaires, les organisations peuvent non seulement répondre aux exigences réglementaires, mais également améliorer leur cybersécurité globale.
