Comment se conformer à la directive NIS 2 ? - SysDream
  • CENTRE D’URGENCE | 24/7
  • Vous êtes victime d’une cyberattaque ?
  • Contactez notre centre d’urgence cyber :
  • +33 (0)1 83 07 00 06

NIS 2 : quelles sont les clés de la conformité ?

Le 18 octobre 2024, l'Union européenne a franchi une étape importante en matière de cybersécurité avec l’entrée en vigueur de la directive NIS 2. Cette nouvelle règlementation, qui remplace la directive NIS 1 (Network & Information Security) de 2018, vise à renforcer la posture de cybersécurité des organisations et des entreprises. Alors, comment mettre en place NIS 2 au sein de son organisation ? Quelles entreprises sont concernées par cette nouvelle règlementation européenne ? Dans cet article, nous vous proposons un éclairage complet sur la directive européenne NIS 2 : ses objectifs, son champ d'application et les démarches clés pour sa mise en œuvre au sein de votre organisation.

Par olivier.dania

NIS 2 : quelles sont les clés de la conformité ?

Olivier a rejoint les équipes de Sysdream, la division cyber du groupe Hub One, en juillet 2022 où il occupe le poste de chef de produit cybersécurité. Passionné par le sport en général, Olivier a malgré tout une préférence pour les sports de balle comme le basket et le tennis. Mais c’est le football qui lui procure ses plus grandes émotions et en parisien qui se respecte, c’est pour l’équipe de Paris qu’il vibre. Mais Olivier n’a pas d’intérêt que pour le sport, faisant partie de la génération qui a grandi avec les jeux vidéo, il continue à jouer aussi bien aux jeux récents que les plus anciens. D’un point de vue culturel, Olivier aime beaucoup voyager, aller à la rencontre d’autres cultures, d’autres modes de vies, d’autres gastronomies. A l’ère des livres numériques, Olivier reste très attaché au livre papier, dont il ne se lasse pas de tourner les pages.

Qu’est-ce que NIS 2 et quels sont ses objectifs ?

NIS 2, pour « Network and Information Security 2 », est une directive européenne qui vise à harmoniser les pratiques de cybersécurité des entreprises à travers l’UE. Elle vient également élargir le périmètre d’application de NIS 1 pour inclure un plus grand nombre d’organisations et de secteurs, de plus en plus exposés aux cybermenaces dans un cadre géopolitique tendu.

De manière succincte, voici les objectifs de la directive NIS 2 :

  • Étendre et homogénéiser le périmètre de NIS 2 par rapport à NIS 1
  • Maîtriser les risques liés aux tiers
  • Renforcer les obligations de signalement et de gestion des incidents
  • Renforcer les obligations et les responsabilités légales de la direction

 

Qui est concerné par NIS 2 ?

Le périmètre de NIS 2 s’applique désormais à un large éventail d’organisations et intègre 12 nouveaux secteurs. En plus des secteurs déjà concernés par NIS 1 (secteur bancaire, énergie, eau potable, transports, infrastructure numérique et infrastructure des marchés financiers), 5 autres secteurs rejoignent la danse dans la catégorie des « secteurs hautement critiques » :

  • Santé
  • Gestion des services TIC
  • Administration publique
  • Gestion des eaux usées
  • Spatial

Une seconde catégorie nommée « autres secteurs critiques » couvre :

  • les services postaux et d’expédition
  • la gestion des déchets
  • la recherche
  • les fournisseurs numériques
  • l’industrie
  • les produits chimiques
  • l’agro-alimentaire

En plus du secteur d’activité, de nouvelles notions entrent en jeu, notamment le nombre de collaborateurs, le chiffre d’affaires et le montant du bilan annuel. Ainsi est concerné par NIS 2 :

  • Toute organisation de plus de 50 employés ou
  • De plus de 10 millions d’euros de chiffre d’affaires ou
  • D’un bilan annuel de plus de 10 millions d’euros

Les administrations publiques quant à elles, sont très fortement impactées par cette nouvelle directive.

 

 

Comment mettre en place NIS 2 dans son organisation ?

La mise en œuvre de NIS 2 nécessite une approche structurée et rigoureuse. Réaliser une évaluation des risques ou encore surveiller et auditer en permanence son SI sont des bonnes pratiques à mettre en place.

Cependant, cette mise en conformité peut s’avérer complexe et nécessiter l’assistance d’experts en cybersécurité. Voici quelques conseils pour vous mettre en conformité :

  1. Connaître son niveau de maturité en cybersécurité : dans cette première phase essentielle, il est question de connaître son système d’information et ses diverses activités, mais également l’exposition aux risques auxquels vous êtes confrontés. La notion de résilience du SI est ici essentielle. Tous ces éléments vous aideront à élaborer une feuille de route et passer à la phase suivante.
  2. Sensibiliser et se préparer : il s’agit ici de parler de montée en compétences des équipes. La sensibilisation aux cybermenaces, la formation technique et la veille sur les menaces sont des pratiques à mettre en place. Une étape de d’exercice à la gestion de crise est également nécessaire pour se préparer aux éventuelles cyber-attaques.
  3. Détecter et réagir : c’est la phase de proactivité. Dans cette étape, il s’agit de détecter les menaces, superviser les événements de sécurité et bien évidemment, de réagir en cas d’incident de sécurité.

Enfin, l’une des clés de réussite de cette mise en conformité se tient dans la posture cybersécurité de l’entreprise. En effet, il s’agit de venir renforcer celle-ci par la prise de conscience du management et des utilisateurs, mais également par des actions de priorisation et de gestion des incidents pour, in fine, une meilleure résilience.

En conclusion, même si NIS 2 vient contraindre les organisations à mettre en place de nouvelles mesures de cybersécurité (parfois lourdes), cette règlementation est en réalité une formidable opportunité d’augmenter son niveau de maturité sur les questions de sécurité informatique.

Il est rappelé qu’en cas de non-conformité à la directive NIS 2, les sanctions peuvent être lourdes : jusqu’à 2% du chiffre d’affaires mondial et des sanctions pénales peuvent être prononcées envers les organes de direction.

 

 

Si vous êtes préoccupé par la conformité de votre entreprise à la directive NIS 2, SysDream peut vous accompagner. Nos experts fourniront une analyse complète et personnalisée pour vous aider à mettre en place les mesures nécessaires pour vous conformer aux exigences légales. 

Contactez-nous : https://sysdream.com/ressources/accompagnement-nis-2-ready-sysdream/