NIS 2 : quelles sont les clés de la conformité ?
Par olivier.dania
Qu’est-ce que NIS 2 et quels sont ses objectifs ?
NIS 2, pour « Network and Information Security 2 », est une directive européenne qui vise à harmoniser les pratiques de cybersécurité des entreprises à travers l’UE. Elle vient également élargir le périmètre d’application de NIS 1 pour inclure un plus grand nombre d’organisations et de secteurs, de plus en plus exposés aux cybermenaces dans un cadre géopolitique tendu.
De manière succincte, voici les objectifs de la directive NIS 2 :
- Étendre et homogénéiser le périmètre de NIS 2 par rapport à NIS 1
- Maîtriser les risques liés aux tiers
- Renforcer les obligations de signalement et de gestion des incidents
- Renforcer les obligations et les responsabilités légales de la direction
Qui est concerné par NIS 2 ?
Le périmètre de NIS 2 s’applique désormais à un large éventail d’organisations et intègre 12 nouveaux secteurs. En plus des secteurs déjà concernés par NIS 1 (secteur bancaire, énergie, eau potable, transports, infrastructure numérique et infrastructure des marchés financiers), 5 autres secteurs rejoignent la danse dans la catégorie des « secteurs hautement critiques » :
- Santé
- Gestion des services TIC
- Administration publique
- Gestion des eaux usées
- Spatial
Une seconde catégorie nommée « autres secteurs critiques » couvre :
- les services postaux et d’expédition
- la gestion des déchets
- la recherche
- les fournisseurs numériques
- l’industrie
- les produits chimiques
- l’agro-alimentaire
En plus du secteur d’activité, de nouvelles notions entrent en jeu, notamment le nombre de collaborateurs, le chiffre d’affaires et le montant du bilan annuel. Ainsi est concerné par NIS 2 :
- Toute organisation de plus de 50 employés ou
- De plus de 10 millions d’euros de chiffre d’affaires ou
- D’un bilan annuel de plus de 10 millions d’euros
Les administrations publiques quant à elles, sont très fortement impactées par cette nouvelle directive.
Comment mettre en place NIS 2 dans son organisation ?
La mise en œuvre de NIS 2 nécessite une approche structurée et rigoureuse. Réaliser une évaluation des risques ou encore surveiller et auditer en permanence son SI sont des bonnes pratiques à mettre en place.
Cependant, cette mise en conformité peut s’avérer complexe et nécessiter l’assistance d’experts en cybersécurité. Voici quelques conseils pour vous mettre en conformité :
- Connaître son niveau de maturité en cybersécurité : dans cette première phase essentielle, il est question de connaître son système d’information et ses diverses activités, mais également l’exposition aux risques auxquels vous êtes confrontés. La notion de résilience du SI est ici essentielle. Tous ces éléments vous aideront à élaborer une feuille de route et passer à la phase suivante.
- Sensibiliser et se préparer : il s’agit ici de parler de montée en compétences des équipes. La sensibilisation aux cybermenaces, la formation technique et la veille sur les menaces sont des pratiques à mettre en place. Une étape de d’exercice à la gestion de crise est également nécessaire pour se préparer aux éventuelles cyber-attaques.
- Détecter et réagir : c’est la phase de proactivité. Dans cette étape, il s’agit de détecter les menaces, superviser les événements de sécurité et bien évidemment, de réagir en cas d’incident de sécurité.
Enfin, l’une des clés de réussite de cette mise en conformité se tient dans la posture cybersécurité de l’entreprise. En effet, il s’agit de venir renforcer celle-ci par la prise de conscience du management et des utilisateurs, mais également par des actions de priorisation et de gestion des incidents pour, in fine, une meilleure résilience.
En conclusion, même si NIS 2 vient contraindre les organisations à mettre en place de nouvelles mesures de cybersécurité (parfois lourdes), cette règlementation est en réalité une formidable opportunité d’augmenter son niveau de maturité sur les questions de sécurité informatique.
Il est rappelé qu’en cas de non-conformité à la directive NIS 2, les sanctions peuvent être lourdes : jusqu’à 2% du chiffre d’affaires mondial et des sanctions pénales peuvent être prononcées envers les organes de direction.
Si vous êtes préoccupé par la conformité de votre entreprise à la directive NIS 2, SysDream peut vous accompagner. Nos experts fourniront une analyse complète et personnalisée pour vous aider à mettre en place les mesures nécessaires pour vous conformer aux exigences légales.
Contactez-nous : https://sysdream.com/ressources/accompagnement-nis-2-ready-sysdream/