La mise à jour de la directive NIS 2, entrera en vigueur le 17 octobre 2024. Elle représente des changements significatifs de la directive NIS originale de 2016. Mise en place pour renforcer la sécurité numérique en Europe, la NIS 2 élargit son champ d’application à de nouveaux secteurs comme les administrations publiques, les télécommunications et les plateformes de réseaux sociaux.
Cette directive imposera des exigences accrues aux entreprises, en matière de gestion des risques et de notification des incidents de sécurité.
Un mécanisme de proportionnalité est également introduit, différenciant les entités en “essentielles” et “importantes”, afin d’adapter les obligations en fonction de leur criticité.
PME ou grandes entreprises, voici les changements auxquels vous devez vous préparer !
Évolution des marchés concernés
Les secteurs d’activité concernés
La directive NIS 2 s’étend désormais à 35 secteurs d’activité. Les organisations concernées sont les entreprises publiques ou privées et collectivités territoriales de plus de 50 salariés dont le chiffre d’affaires dépasse 1 million d’euros. Elles figurent dans la liste des activités définie par l’ANSSI.
Initialement, NIS 1 englobait 19 secteurs : la santé, l’énergie, les transports, le secteur bancaire, les infrastructures des marchés financiers, l’approvisionnement en eau potable, les eaux usées, les infrastructures numériques, les fournisseurs de services numériques, les administrations publiques et le secteur aérospatial.
Les nouveaux secteurs concernés visent actuellement les services postaux et d’expédition, la gestion des déchets, la fabrication, la production et la distribution de produits chimiques, l’industrie, l’agroalimentaire et les fournisseurs de services numériques.
Les sous-traitants sont également assujettis à NIS 2
Les sous-traitants sont également concernés par la directive NIS 2 en raison de leur rôle crucial dans la chaîne d’approvisionnement et des risques de cybersécurité associés.
En incluant les sous-traitants, la directive NIS 2 vise à réduire les risques de cybersécurité liés aux tiers. De même, elle a pour objectif d’assurer que tous les maillons de la chaîne de valeur respectent des normes de sécurité élevées.
La cybersécurité ne peut être optimale que si toutes les parties impliquées, y compris les sous-traitants, partagent la responsabilité de protéger les informations et les systèmes.
Classification des organisations par entités
La directive NIS 2 introduit une nouvelle catégorisation des entités en “Essentielles” et “Importantes” pour mieux adapter les exigences en matière de cybersécurité à leur niveau de criticité.
Entités Essentielles
Les “Entités Essentielles” (EE) regroupent ainsi des organisations dont les activités sont cruciales pour la société et l’économie. Elles incluent notamment :
- Opérateurs de services essentiels tels que les infrastructures critiques de santé, les banques, les réseaux de transport, les fournisseurs d’eau et d’énergie.
- Administrations publiques : Les administrations qui jouent un rôle clé dans la gestion et la coordination de services publics critiques.
- Fournisseurs cloud et opérateurs des noms de domaines
Les EE sont soumises à des obligations de cybersécurité plus strictes en raison de l’impact potentiel élevé d’un incident de sécurité sur ces secteurs.
Entités Importantes
Les “Entités Importantes” (EI), bien que cruciales, sont classées comme ayant un impact moindre par rapport aux EE. Elles incluent :
- Plateformes de réseaux sociaux : En raison de leur rôle dans la communication et la diffusion de l’information.
- Services postaux et d’expédition : Importantes pour le commerce et la logistique.
- Fabrication de produits chimiques et production alimentaire : Critiques pour la sécurité et la chaîne d’approvisionnement.
Les mesures NIS 2 en vigueur dès octobre 2024
Gestion des risques et sécurisation des systèmes d’information
Les entités doivent mettre en place des politiques et des mesures pour :
- L’analyse et gestion des risques : Évaluer régulièrement les risques et les menaces potentielles.
- La sécurité de la chaîne d’approvisionnement : Assurer la sécurité des systèmes et des services fournis par des tiers et des sous-traitants.
- La sécurité des réseaux et des systèmes d’information : Implémenter des mesures de protection contre les cyberattaques et garantir l’intégrité et la confidentialité des données.
Gouvernance et responsabilité
Les organes de direction des entités doivent :
- Être responsabilisés sur la gestion des risques liés à la cybersécurité.
- Mettre en place des politiques de formation à la cybersécurité pour le personnel et les dirigeants.
- Valider et superviser les stratégies de cybersécurité et s’assurer de leur application.
Gestion des incidents
Les entités assureront également la gestion des incidents :
- Détecter et signaler les incidents de sécurité rapidement, avec une notification initiale dans les 24 heures et un rapport détaillé dans les 72 heures.
- Prendre des mesures correctives pour minimiser les impacts et prévenir de futurs incidents.
- Collaborer avec les autorités compétentes pour gérer les incidents et partager des informations pertinentes.
Obligation d’information
Les entités doivent :
- Notifier les autorités compétentes et/ou le Computer Security Incident Response Team (CSIRT) en cas d’incident.
- Fournir des informations détaillées sur l’incident, incluant la gravité, les impacts, les sites affectés et les mesures d’atténuation mises en œuvre.
- Communiquer les mesures préventives et les résultats des analyses de risques aux parties prenantes.
Conseils et recommandations pour vous conformer
Subventions et aides financières
Les entreprises peuvent bénéficier de plusieurs subventions et aides financières pour se préparer à la directive NIS 2 et renforcer leur cybersécurité. Parmi ces aides, le Chèque Diagnostic Cyber, offrant entre 3 200 et 5 000 euros. Il finance des audits techniques, d’architecture et organisationnels pour évaluer la sécurité des systèmes d’information.
La Subvention Diagnostic Cybersécurité couvre jusqu’à 50 % des dépenses éligibles. Jusqu’à 5 000 euros, pour aider à évaluer les risques et définir des plans d’action.
Le programme Cyber PME propose des subventions de 30 000 à 80 000 euros. Ce programme finance jusqu’à 70 % des dépenses liées à la sécurisation des systèmes d’information des PME.
Enfin, la stratégie d’accélération cybersécurité dans le cadre de France 2030. Elle soutient la filière nationale avec des financements pour des projets innovants et ainsi des aides pour améliorer la résilience face aux cybermenaces. Découvrez plus d’aides pour renforcer votre cybersécurité et vous conformer aux nouvelles exigences réglementaires.
Ressources et accompagnements
Vous pouvez faire appel à des experts proposant des services de conseil pour aider à l’évaluation des risques. De même pour la mise en place de mesures de sécurité et à la formation du personnel. Des consultants spécialisés peuvent effectuer des audits de sécurité et proposer des plans d’action sur mesure.
Également vous devez choisir un ou des sous-traitants en accord avec la directive NIS 2. Pour vous aider dans l’optimisation de votre résilience en cybersécurité nous vous proposons un livre blanc sur le sujet, à télécharger gratuitement.
Vous faites partie des secteurs concernés et vous souhaitez être accompagnés dans la mise en conformité de votre sécurité informatique ?
Les solutions de partage et de stockage NetExplorer sont en accord avec les réglementations et exigences NIS 2.
Experts de la gestion de fichiers depuis plus de 15 ans, nos solutions hautement sécurisées et certifiées. Hébergées dans notre cloud de confiance, nous garantissons aux organisations une totale maîtrise de leurs données.