Face à la considérable augmentation de cybermenaces dans le monde entier, et plus particulièrement en Europe, l’Union européenne a publié une première directive visant à l’amélioration du niveau général de cybersécurité dans l’UE en 2026 qui a été renforcée par la directive NIS 2 en décembre 2022 et dont l’adoption sera obligatoire d’ici le 17 octobre 2024.
En quoi consiste la Directive NIS 2 ?
C’est la législation européenne la plus complète en matière de cybersécurité établie à ce jour. Elle a pour objectif de définir les mesures à mettre en œuvre pour toutes les organisations fournissant des services essentiels ou importants pour se protéger des cybermenaces. Elle doit aussi améliorer la collaboration 🫱🏼🫲🏽 entre les États de l’UE en matière de cybersécurité.
NIS 2, les mesures à mettre en œuvre
Dans le cadre de cette directive, les organisations doivent mettre en œuvre, au minimum, les mesures suivantes :
– 🔒 Politiques d’analyse des risques et de sécurité des systèmes d’information.
– 📊 Gestion des incidents.
– 📈 Continuité des activités.
– 🔐 Sécurité de la chaîne d’approvisionnement.
– 💻 Pratiques de base en matière d’hygiène cybernétique et formation en cybersécurité.
– 🔑 Procédures relatives à l’utilisation de la cryptographie et du chiffrement.
– 🗂️ Sécurité des ressources humaines, politiques de contrôle d’accès et gestion des actifs.
– 👨🏻💻 Utilisation de l’authentification multi-facteurs (AMF), de solutions d’authentification continue et de systèmes de communication sécurisés.
NIS 2, quels secteurs et entreprises sont concernées ?
La directive NIS 2 va concerner environ 160 000 entreprises réparties dans 18 secteurs, essentiellement les entreprises de taille moyenne ou grande, avec 50 employés ou plus et un chiffre d’affaires supérieur à 10 millions d’euros. Cependant, certaines petites organisations peuvent également être incluses, quelle que soit leur taille, si elles sont considérées comme des acteurs clés de notre société.
Ces 18 secteurs sont répartis en deux catégories : les secteurs essentiels et les secteurs importants.
Parmi les secteurs essentiels, on retrouve l’énergie, le transport, les banques, la santé, l’eau, les infrastructures numériques, l’administration et l’espace.
Les secteurs importants concernent les services de messagerie, des déchets, de la chimie, de l’agro-alimentaire, l’industrie, les fournisseurs numériques et la recherche.
NIS 2, des sanctions financières lourdes prévues
Comme pour le RGPD, le législateur européen a intégré dans NIS 2 des sanctions financières très lourdes en cas de non respect qui peuvent atteindre 10 millions d’euros ou au moins 2% du CA mondial pour les organisations des secteurs essentiels et 7 millions d’euros ou au moins 1,4% du CA mondial pour celles des secteurs importants !
NIS 2, le calendrier et les prochaines échéances
Les dates les plus importantes :
– d’ici le 17 octobre 2024 : les États membres doivent adopter les mesures nécessaires pour se conformer à la Directive NIS 2. Ces mesures doivent être appliquées à partir du 18 octobre 2024.
– d’ici le 17 avril 2025 : les États membres doivent établir une liste des entités essentielles et importantes. Cette liste doit être mise à jour régulièrement.
– d’ici le 17 octobre 2027 : la Commission européenne doit examiner le fonctionnement de la Directive NIS 2 et rendre compte au Parlement européen et au Conseil. Cette évaluation doit être effectuée tous les 36 mois par la suite.
NIS 2, comment se préparer à la mise en conformité ?
Il y a urgence pour les entités qui n’ont pas déjà mis en place un certain nombre de mesures essentielles compte tenu de la première échéance en octobre 2024 !
Les organisations ayant déjà mis en place la certification ISO 27001 disposent d’une base solide pour la gestion des risques de sécurité mais le respect des exigences du NIS 2 variera en fonction de la législation nationale.
Pour toutes les autres entités, il faudra procéder rapidement à une évaluation et un diagnostic qui doit permettre d’identifier les services et processus qui sont impactés par la directive NIS 2.
Parmi les mesures nécessaires à mettre en œuvre : la définition des politiques de gestion des risques, un plan de continuité d’activité, la mise en place de canaux de communication sécurisés et une formation en cybersécurité des administrateurs et des usagers.
Une fois ces mesures mises en place, il sera important de vérifier régulièrement l’efficacité de toutes ces mesures mises en œuvre et de les ajuster en conséquence, les cybermenaces étant en perpétuelle évolution.
Votre première démarche sera de contacter votre prestataire informatique ou idéalement, un expert en cybersécurité.