La Directive NIS 2 et son Impact sur la Cybersécurité

La directive NIS 2 (Network and Information Security 2) est une initiative de l’Union européenne visant à améliorer la coordination entre les États membres de l’UE, de développer les compétences et les ressources en cybersécurité et à imposer des normes de sécurité plus strictes aux entités critiques.

Qui est concerné ?

• Entités essentielles : Grandes entreprises et infrastructures critiques (énergie, transport, santé, etc.).
• Entités importantes : PME dans des secteurs critiques (services numériques, finance).
• Prestataires informatiques : Inclut ceux qui fournissent des services critiques

La directive NIS 2 par rapport à la NIS 1

La directive NIS 2 apporte des améliorations significatives par rapport à NIS 1. Elle élargit le périmètre pour inclure davantage d’entités, y compris certaines PME et de nouveaux secteurs comme la gestion des déchets et la recherche médicale. Les obligations de sécurité sont renforcées. Les sanctions sont plus sévères, avec des amendes pouvant atteindre 10 millions d’euros ou 2 % du chiffre d’affaires. La directive vise également à harmoniser les mesures de sécurité à travers l’UE, favorisant une coopération renforcée entre les États membres pour une résilience accrue face aux cybermenaces. 

Quelles sont les Obligations ? 

Les entreprises doivent : 

• Gérer les risques avec des mesures adaptées à leur taille et à leur exposition. 
• Notifier les incidents majeurs à l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) dans un délai précis : 24 heures pour l’alerte initiale et 72 heures pour le rapport complet. 
• S’enregistrer auprès d’un registre national d’ici avril 2025. 

Comment se préparer à NIS2 ?

Les entreprises concernées doivent prendre plusieurs mesures pour se conformer aux nouvelles obligations de cybersécurité :

1. Enregistrement auprès du registre national : Les entités essentielles et importantes, ainsi que les services d’enregistrement de noms de domaine, doivent s’enregistrer auprès du registre national au plus tard le 17 avril 2025.
2. Adoption de mesures de gestion des risques cyber : Les entreprises doivent mettre en place des mesures techniques, opérationnelles et organisationnelles proportionnées aux risques menaçant la sécurité des réseaux et des systèmes d’information.
3. Notification des incidents de sécurité : Les entreprises doivent notifier tout incident de sécurité significatif à l’ANSSI. Une alerte précoce doit être envoyée dans les 24 heures en cas de suspicion d’incident important, une notification d’incident dans les 72 heures avec un rapport intermédiaire sur demande, et un rapport final dans un délai d’un mois si l’alerte est toujours en cours.
4. Prise en compte des obligations NIS2 dans les cahiers des charges : Les entreprises doivent intégrer les exigences de la directive NIS2 dans leurs cahiers des charges et s’assurer du suivi des obligations par leurs clients finaux.
5. Sanctions et contrôles : Les autorités compétentes peuvent réaliser des inspections, des audits de sécurité, des scans de sécurité et demander des informations et des preuves.

L’AVIS DE PÉRENNE’IT   

Avant même son entrée en vigueur, la directive NIS2 a d’ores et déjà un impact  significatif sur  la cybersécurité par la contrainte légale qu’elle exerce sur les PME et autres organisations. Comme souvent dans ce contexte là il convient de transformer une contrainte nouvelle qui s’impose à nous en opportunité:

En premier lieu opportunité commerciale, en étant capable de montrer à ses clients et partenaires un niveau de conformité effectif qui renforce la confiance, en second lieu opportunité de gagner en fiabilité et performance par une mise en oeuvre judicieuse des recommandations de la directive. C’est du moins l’approche proposée par Pérenne’IT à ses clients.