Lundi 05 fév 2024
Présentation de NIS2
D’après vous, quel est le risque N°1 pour une entreprise ? Incendies ? Risques climatiques ? On apprend dans le Baromètre des risques d’Allianz 2024 que ce sont les incidents cyber qui arrivent en tête du classement. Dans un monde de plus en plus connecté, la cybersécurité est devenue un enjeu majeur pour toutes les entreprises. C’est dans ce contexte que dès 2024, de nombreuses TPE et PME vont être soumises à de nouvelles mesures de cybersécurité, notamment à travers la directive NIS2 (Network Information Security). Dans cet article, nous allons faire une présentation de NIS2 et fournir des conseils pratiques pour élaborer une stratégie de mise en conformité efficace.
Qu’est-ce que NIS2 ?
La directive NIS2, adoptée par le Parlement européen en 2022, se positionne comme une réglementation cruciale pour protéger les entreprises contre les cybermenaces. Son objectif est de garantir un niveau élevé de sécurité, en réponse à l’évolution rapide des risques cyber. Cette directive, qui entrera en vigueur en octobre 2024 en France, revêt donc une importance particulière pour les entreprises.
Qui est concerné par la directive NIS2 ?
Comprendre qui est visé par la directive NIS2 est la première étape pour garantir une mise en œuvre efficace des mesures de sécurité. Quels sont les critères définissant les entreprises concernées par la directive NIS2 ?
Les entreprises concernées par NIS2
Vous êtes concernés si vous êtes une entité publique ou privée, et que vous exercez votre activité au sein de l’UE. Grandes et petites entreprises sont concernées. Aujourd’hui, la Directive cible :
- les PME de 50 salariés ou plus,
- les entreprises réalisant un Chiffre d’Affaires de 10 millions ou plus,
- et les Collectivités Locales.
D’autre part, certains secteurs d’activité sont explicitement visés par NIS2 tels que : l’énergie (électricité, pétrole et gaz), l’approvisionnement en eau (approvisionnement et distribution d’eau potable), les infrastructures bancaires et du marché financier, les soins de santé, et le transport (air, rail, eau et route), les administrations publiques, le service postal, les infrastructures numériques… peu importe l’effectif ou le CA. Cela souligne l’importance de la cybersécurité dans tous les aspects de notre économie et de notre société.
En outre, la directive NIS 2 s’étend également aux sous-traitants. Cela signifie que si vous êtes fournisseurs ou sous-traitants vous devez également respecter les normes de sécurité appropriées.
La directive NIS2 établit également une distinction entre deux catégories d’entreprises : les entités essentielles et les entités importantes. Les entités essentielles, par leur rôle critique dans la fourniture de services essentiels à la société, sont soumises à des normes de sécurité plus strictes. D’autre part, les entités importantes, bien que moins critiques, doivent également mettre en place des mesures de cybersécurité robustes.
Comprendre votre Classification NIS2
La préparation à la conformité NIS2 commence par une évaluation minutieuse de la classification de votre entreprise. Identifiez vos services critiques, évaluez votre impact potentiel, et déterminez votre niveau de responsabilité en matière de cybersécurité. C’est en comprenant ces critères que vous pourrez élaborer une stratégie de mise en conformité efficace.
Pour savoir si vous êtes concernés par NIS2, inscrivez-vous à notre réunion d’information du 8 février !
Les mesures concrètes de cybersécurité selon NIS2
Voyons quelles sont les obligations à respecter pour s’assurer une conformité avec NIS2. Les détails précis des nouvelles mesures de protection de NIS2 ne sont pas encore entièrement dévoilés, cependant, certaines dispositions semblent être d’ores et déjà établies :
- Obligation de signalement des incidents dans les 24h après détection
- Obligation d’audit des fournisseurs
- Politique d’analyse des risques : identifier les menaces potentielles et évaluer les vulnérabilités
- Étude d’impact : Evaluer les conséquences potentielles d’un incident de sécurité
- Plan de continuité / reprise d’activité : Un plan détaillé permet d’assurer la continuité des opérations et la reprise rapide des activités en cas d’incident.
- Contrôle d’accès : Des mesures de gestion des privilèges et de double authentification sont mises en place pour renforcer la sécurité des accès.
- Backup fonctionnel : Des sauvegardes fonctionnelles sont effectuées régulièrement pour prévenir la perte de données.
- Politique de chiffrement : Une politique robuste de chiffrement est mise en place pour protéger les informations sensibles.
- Tests d’intrusion récurrents : Des tests d’intrusion sont effectués régulièrement pour identifier et corriger les failles de sécurité.
Un aspect clé de la conformité NIS2 consiste à adopter des bonnes pratiques en cybersécurité. Établir une culture de la sécurité au sein de l’entreprise, sensibiliser les employés aux menaces potentielles, et promouvoir des habitudes de sécurité en ligne sont des actions préventives fondamentales.
Surveillance et contrôle de l’ANSSI
En France, c’est l’ANSSI qui sera en charge de vérifier la conformité NIS2 à travers des audits de sécurité. Elle pourra demander des informations, ou encore un accès aux données, et surtout demander les preuves de mise en œuvre des mesures de sécurité par les entreprises pour se conformer à NIS2.
Conséquences de la Non-conformité NIS2
La non-conformité avec la directive NIS2 peut entraîner des conséquences sérieuses. Les entreprises s’exposent également à des sanctions financières et juridiques importantes.
Implications financières
Les sanctions financières prévues en cas de non-conformité peuvent avoir un impact significatif sur la stabilité économique d’une entreprise. Des amendes pourront être appliquées à partir de 2% du chiffre d’affaires. Ce montant pourra augmenter selon la gravité de la non-conformité.
Responsabilités légales
En plus des implications financières, la non-conformité expose les entreprises à des responsabilités légales. Les dirigeants peuvent être tenus personnellement responsables des lacunes en matière de cybersécurité. Nous vous conseillons de lire le guide Cybersécurité :
Ce qu’il faut retenir de NIS2
- La Directive NIS2 sera applicable en octobre 2024.
- Ces normes de sécurité informatique concernent probablement votre entreprise.
- Pour élaborer un planning de mise en conformité, il est utile de comprendre votre classification NIS2.
Pour obtenir des conseils personnalisés, contactez l’équipe Quietic.
Quietic remercie Clément JUBILO, étudiant à l’EPSI, pour sa participation à l’écriture de cet article.
