Qu'est-ce que NIS2 et qu'est-ce que cela signifie pour votre organisation ?

Ces dernières années, nous avons constaté une forte augmentation du nombre de cyberattaques et d'incidents en Europe. En particulier, le phishing, les logiciels malveillants et les ransomwares constituent un problème majeur. Les cyberattaques peuvent avoir un impact considérable sur les sociétés, car nous dépendons fortement d'une infrastructure numérique qui fonctionne bien, tant au niveau professionnel que personnel. Comme nous travaillons tous désormais essentiellement de manière numérique, la cybersécurité est une exigence de base plutôt qu'une option.

Pour renforcer la cybersécurité dans toute l'Europe, le Parlement européen a voté pour adopter la directive révisée sur les réseaux et les systèmes d'information 2022/0383, plus connue sous le nom de "NIS2". NIS2 vise à étendre, renforcer et harmoniser la mise en œuvre du cadre de cybersécurité existant de l'UE. Elle constitue un élément important de la stratégie de cybersécurité de l'UE et s'inscrit dans la priorité de la Commission européenne de préparer l'Europe à l'ère numérique.

Qu'est-ce que la directive NIS2 ?

En 2016, l'UE a introduit la directive sur la sécurité des réseaux et des systèmes d'information (directive NIS). Cette NIS1 fixe des exigences strictes en matière de cybersécurité pour les entreprises dites "essentielles". Il s'agit par exemple des entreprises du secteur de l'eau, de l'énergie et des télécommunications. La NIS2 complète et étend la directive qui désigne davantage d'entreprises comme entreprises essentielles. Au total, elle concerne environ 160 000 organisations dans toute l'Europe.

Les principaux éléments du NIS2 sont les suivants :

• Compte tenu de son importance pour l'économie et la société, la nouvelle directive couvre davantage de secteurs et révise la manière dont les entreprises sont classées dans la directive NIS. Les moyennes et grandes entreprises de certains secteurs sont incluses dans la proposition. En même temps, elle donne aux États membres une certaine souplesse pour identifier les petites entreprises présentant un profil de risque élevé.

• L'accent est davantage mis sur les organes directeurs des entreprises entrant dans le champ d'application, ce qui oblige les États membres à veiller à ce que ces organes directeurs puissent être tenus responsables des violations par l'entité des dispositions relatives à ces mesures.

• La directive renforce les exigences de sécurité pour les entreprises en imposant une approche de gestion des risques et en décrivant les principales mesures de cybersécurité que toutes les organisations couvertes doivent mettre en œuvre.

• La NIS2 ne fait plus de distinction entre les opérateurs de services essentiels et les fournisseurs de services numériques. Les organisations seront classées en fonction de leur importance et divisées en catégories essentielles et importantes, ce qui aura pour conséquence de les soumettre à des régimes de surveillance différents.

• Les obligations de signalement des incidents seront considérablement modifiées et les sanctions en cas de non-respect seront renforcées.

• Les entreprises individuelles devront aborder les risques de sécurité dans les chaînes d'approvisionnement et les relations avec les fournisseurs.

• Il y aura des mesures de surveillance plus strictes pour les autorités nationales, des exigences plus strictes pour l'application des mesures de sécurité et l'harmonisation des régimes de sanction et des obligations de déclaration dans les États membres, ainsi qu'une coopération et un échange d'informations renforcés entre les États membres.

Quand et à qui s'applique le NIS2 ?

Le NIS2 s'applique à toute organisation opérant ou exerçant ses activités dans l'UE qui fournit un service essentiel aux consommateurs (ce qui signifie qu'elle répond à la description d'une entité "essentielle" ou "importante" dans une liste particulière de secteurs). Les exemples incluent les fournisseurs d'Internet, les fournisseurs d'énergie, les entreprises d'eau potable, les entreprises de traitement des déchets, les banques, les transporteurs, les établissements de santé et les usines produisant des aliments ou des articles ménagers importants. Parmi les exceptions notables, citons les petites entreprises qui peuvent être considérées comme essentielles mais qui ne respectent pas une limite de taille (elles devraient avoir des revenus annuels de 10 millions d'euros et/ou moins de 50 employés) et d'autres entités explicitement exclues par les États membres.

Le NIS2 peut étiqueter les organisations comme essentielles ou importantes - qui sont soumises aux mêmes exigences de gestion de la cybersécurité et de signalement des incidents dans le cadre du NIS. La plus grande différence entre les organisations essentielles et importantes ? Le contrôle de la conformité. Pour les fournisseurs essentiels, principalement les parties des secteurs vitaux, la surveillance devra être strictement proactive et clairement reflétée dans leurs processus. Cela signifie que les superviseurs vérifient si ces organisations appliquent et respectent correctement la directive. Pour les principaux fournisseurs, la surveillance aura lieu rétrospectivement s'il existe des indices d'un cyber incident.

La nouvelle législation a un champ d'application plus large (plus de secteurs et plus d'organisations) que la directive NIS1 et vise à égaliser et à augmenter la résilience numérique dans les États membres de l'UE. La directive NIS2 devrait être inscrite dans la loi en septembre 2024 au plus tard. "Pour de nombreuses PME, NIS2 n'aura aucun impact, sauf si tu es indispensable. Alors tu devras être certifié et tu recevras des visites plus fréquentes d'un régulateur", a expliqué l'eurodéputé VVD Bart Groothuis.

Quel est l'impact de la nouvelle législation ?

Ton organisation est-elle identifiée comme essentielle ? Et tu ne réponds pas aux exigences fixées par le NIS2 ? Alors tu risques des amendes allant jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial total. Les personnes ayant une autorité ou des rôles (de gestion) pertinents en matière de cybersécurité peuvent être tenues personnellement responsables de la non-conformité.

Une préparation minutieuse

L'adoption officielle de la NIS2 a eu lieu le 10 novembre 2022, et sa publication officielle est entrée en vigueur le 16 janvier 2023. Cela signifie que les États membres européens doivent commencer la mise en œuvre dans les 21 mois suivant cette date de publication. La mise en œuvre doit donc être terminée le 17 octobre 2024. Cela donne aux entreprises le temps de se préparer avant cette date.

Heureusement, il y a beaucoup de choses que tu peux faire pour faire passer ta cybersécurité au niveau supérieur. Assure-toi d'appliquer les principes de sécurité et de protection de la vie privée dès la conception lors de l'introduction de nouveaux processus ou de l'examen des fournisseurs - et prépare-toi de manière holistique pour NIS2, en tenant également compte des obligations pertinentes en vertu d'autres lois. Par exemple, tes politiques de cybersécurité et tes procédures de gestion des incidents devront tenir compte de toutes les exigences pertinentes des lois applicables. Y compris les exigences du GDPR pour le signalement des incidents et pour les mesures techniques et organisationnelles appropriées, mais ne suppose pas automatiquement qu'un processus de réponse aux incidents conforme au GDPR sera suffisant pour les besoins de NIS 2. Surtout à la lumière des délais de déclaration plus serrés de NIS 2, revois tes exigences et tes rapports d'incidents - et considère les changements nécessaires.

L'application systématique de l'authentification multifactorielle (MFA), l'élaboration d'un cadre solide pour la gestion des identités et des accès (IAM) et la réduction de la surface d'attaque numérique contribuent également à accroître votre niveau de sécurité numérique.

Voici comment Nomios peut vous aider

Avez-vous du mal à répondre aux exigences strictes en matière de cybersécurité ? Et vous trouvez que c'est un défi de préparer votre organisation pour le NIS2 ? Alors Nomios est heureux de vous aider. Nous sommes un spécialiste reconnu de la cybersécurité et des réseaux et nous disposons des connaissances et des solutions pour vous aider à répondre aux exigences du NIS2.

Découvrez l'offre de service de cybersécurité de Nomios pour les environnements de production (Industires, BMS, OT, IoT)