NIS 2 : se préparer aux changements prévus en octobre 2024

La mise à jour de la directive NIS 2, entrera en vigueur le 17 octobre 2024. Elle représente des changements significatifs de la directive NIS originale de 2016. Mise en place pour renforcer la sécurité numérique en Europe, la NIS 2 élargit son champ

NIS 2 : se préparer aux changements prévus en octobre 2024

La mise à jour de la directive NIS 2, entrera en vigueur le 17 octobre 2024. Elle représente des changements significatifs de la directive NIS originale de 2016. Mise en place pour renforcer la sécurité numérique en Europe, la NIS 2 élargit son champ d’application à de nouveaux secteurs comme les administrations publiques, les télécommunications et les plateformes de réseaux sociaux.

Cette directive imposera des exigences accrues aux entreprises, en matière de gestion des risques et de notification des incidents de sécurité.

Un mécanisme de proportionnalité est également introduit, différenciant les entités en “essentielles” et “importantes”, afin d’adapter les obligations en fonction de leur criticité.

PME ou grandes entreprises, voici les changements auxquels vous devez vous préparer !

Évolution des marchés concernés

Les secteurs d’activité concernés

La directive NIS 2 s’étend désormais à 35 secteurs d’activité. Les organisations concernées sont les entreprises publiques ou privées et collectivités territoriales de plus de 50 salariés dont le chiffre d’affaires dépasse 1 million d’euros. Elles figurent dans la liste des activités définie par l’ANSSI.

Initialement, NIS 1 englobait 19 secteurs : la santé, l’énergie, les transports, le secteur bancaire, les infrastructures des marchés financiers, l’approvisionnement en eau potable, les eaux usées, les infrastructures numériques, les fournisseurs de services numériques, les administrations publiques et le secteur aérospatial.

Les nouveaux secteurs concernés visent actuellement les services postaux et d’expédition, la gestion des déchets, la fabrication, la production et la distribution de produits chimiques, l’industrie, l’agroalimentaire et les fournisseurs de services numériques.

Les sous-traitants sont également assujettis à NIS 2

Les sous-traitants sont également concernés par la directive NIS 2 en raison de leur rôle crucial dans la chaîne d’approvisionnement et des risques de cybersécurité associés.

En incluant les sous-traitants, la directive NIS 2 vise à réduire les risques de cybersécurité liés aux tiers. De même, elle a pour objectif d’assurer que tous les maillons de la chaîne de valeur respectent des normes de sécurité élevées.

La cybersécurité ne peut être optimale que si toutes les parties impliquées, y compris les sous-traitants, partagent la responsabilité de protéger les informations et les systèmes.   

Classification des organisations par entités

La directive NIS 2 introduit une nouvelle catégorisation des entités en “Essentielles” et “Importantes” pour mieux adapter les exigences en matière de cybersécurité à leur niveau de criticité.

Entités Essentielles

Les “Entités Essentielles” (EE) regroupent ainsi des organisations dont les activités sont cruciales pour la société et l’économie. Elles incluent notamment :

  • Opérateurs de services essentiels tels que les infrastructures critiques de santé, les banques, les réseaux de transport, les fournisseurs d’eau et d’énergie.
  • Administrations publiques : Les administrations qui jouent un rôle clé dans la gestion et la coordination de services publics critiques.
  • Fournisseurs cloud et opérateurs des noms de domaines​

Les EE sont soumises à des obligations de cybersécurité plus strictes en raison de l’impact potentiel élevé d’un incident de sécurité sur ces secteurs.

Entités Importantes

Les “Entités Importantes” (EI), bien que cruciales, sont classées comme ayant un impact moindre par rapport aux EE. Elles incluent :

  • Plateformes de réseaux sociaux : En raison de leur rôle dans la communication et la diffusion de l’information.
  • Services postaux et d’expédition : Importantes pour le commerce et la logistique.
  • Fabrication de produits chimiques et production alimentaire : Critiques pour la sécurité et la chaîne d’approvisionnement​.

Les mesures NIS 2 en vigueur dès octobre 2024

Gestion des risques et sécurisation des systèmes d’information

Les entités doivent mettre en place des politiques et des mesures pour :

  • L’analyse et gestion des risques : Évaluer régulièrement les risques et les menaces potentielles.
  • La sécurité de la chaîne d’approvisionnement : Assurer la sécurité des systèmes et des services fournis par des tiers et des sous-traitants.
  • La sécurité des réseaux et des systèmes d’information : Implémenter des mesures de protection contre les cyberattaques et garantir l’intégrité et la confidentialité des données​.

Gouvernance et responsabilité

Les organes de direction des entités doivent :

  • Être responsabilisés sur la gestion des risques liés à la cybersécurité.
  • Mettre en place des politiques de formation à la cybersécurité pour le personnel et les dirigeants.
  • Valider et superviser les stratégies de cybersécurité et s’assurer de leur application​.

Gestion des incidents

Les entités assureront également la gestion des incidents :

  • Détecter et signaler les incidents de sécurité rapidement, avec une notification initiale dans les 24 heures et un rapport détaillé dans les 72 heures.
  • Prendre des mesures correctives pour minimiser les impacts et prévenir de futurs incidents.
  • Collaborer avec les autorités compétentes pour gérer les incidents et partager des informations pertinentes.

Obligation d’information

Les entités doivent :

  • Notifier les autorités compétentes et/ou le Computer Security Incident Response Team (CSIRT) en cas d’incident.
  • Fournir des informations détaillées sur l’incident, incluant la gravité, les impacts, les sites affectés et les mesures d’atténuation mises en œuvre.
  • Communiquer les mesures préventives et les résultats des analyses de risques aux parties prenantes​.

Conseils et recommandations pour vous conformer

Subventions et aides financières

Les entreprises peuvent bénéficier de plusieurs subventions et aides financières pour se préparer à la directive NIS 2 et renforcer leur cybersécurité. Parmi ces aides, le Chèque Diagnostic Cyber, offrant entre 3 200 et 5 000 euros. Il finance des audits techniques, d’architecture et organisationnels pour évaluer la sécurité des systèmes d’information.

La Subvention Diagnostic Cybersécurité couvre jusqu’à 50 % des dépenses éligibles. Jusqu’à 5 000 euros, pour aider à évaluer les risques et définir des plans d’action.

Le programme Cyber PME propose des subventions de 30 000 à 80 000 euros. Ce programme finance jusqu’à 70 % des dépenses liées à la sécurisation des systèmes d’information des PME.

Enfin, la stratégie d’accélération cybersécurité dans le cadre de France 2030. Elle soutient la filière nationale avec des financements pour des projets innovants et ainsi des aides pour améliorer la résilience face aux cybermenaces. Découvrez plus d’aides pour renforcer votre cybersécurité et vous conformer aux nouvelles exigences réglementaires.

Ressources et accompagnements

Vous pouvez faire appel à des experts proposant des services de conseil pour aider à l’évaluation des risques. De même pour la mise en place de mesures de sécurité et à la formation du personnel. Des consultants spécialisés peuvent effectuer des audits de sécurité et proposer des plans d’action sur mesure​.

Également vous devez choisir un ou des sous-traitants en accord avec la directive NIS 2. Pour vous aider dans l’optimisation de votre résilience en cybersécurité nous vous proposons un livre blanc sur le sujet, à télécharger gratuitement.

https://hello.netexplorer.fr/ebook/guide-securite-numerique

Vous faites partie des secteurs concernés et vous souhaitez être accompagnés dans la mise en conformité de votre sécurité informatique ?

Les solutions de partage et de stockage NetExplorer sont en accord avec les réglementations et exigences NIS 2.  

Experts de la gestion de fichiers depuis plus de 15 ans, nos solutions hautement sécurisées et certifiées. Hébergées dans notre cloud de confiance, nous garantissons aux organisations une totale maîtrise de leurs données. 

En savoir plus !

SOMMAIRE

Newsletter netexplorer

Vous aimez les chroniques ?

Nous oui et on vous partage nos dernières actus tous les mois !

NetExplorer labellisé Numérique Responsable

NetExplorer labellisé Numérique Responsable : Un engagement fort pour l’éco-responsabilité

NetExplorer franchit une étape majeure dans son engagement pour un avenir numérique durable en obtenant le label Numérique Responsable de...

Les 10 Cyberattaques qui ont marqué la France en 2024

Responsable des Ventes Indirectes / Channel Sales Manager (f/h)

Les 10 Cyberattaques qui ont marqué la France en 2024

Responsable des Ventes Indirectes / Channel Sales Manager (f/h)

Sélectionnez l’espace de connexion qui vous convient