Le NIS2 améliore la directive NIS en y ajoutant des mesures de cybersécurité plus importantes.
Le NIS2 améliore la directive NIS en y ajoutant des mesures de cybersécurité plus importantes.

Naviguer dans la mise à jour de la directive sur la sécurité des réseaux et de l'information (NIS2)

Emily Bogin |

Le NIS2 a amélioré la directive NIS afin de soutenir un programme de cybersécurité plus solide pour l'UE. Davantage de fournisseurs de services doivent se préparer à des réglementations plus strictes... êtes-vous prêt ?

La directive sur la sécurité des réseaux et de l'information (NIS), introduite il y a plus de huit ans, a été la pierre angulaire du renforcement de la cybersécurité dans l'Union européenne (UE). Aujourd'hui, avec l'arrivée imminente de la NIS2 qui devrait entrer en vigueur en octobre de cette année, les entreprises doivent se préparer à naviguer dans un nouveau cadre réglementaire qui s'appuie sur son prédécesseur tout en introduisant des mises à jour et des améliorations cruciales.

NIS et NIS2 : Quelle est la différence ?

La directive NIS, établie en 2016 pour moderniser le cadre juridique relatif aux cyberrisques et à la préparation des entreprises, a été modifiée et élargie en 2023 avec la directive NIS2.

La transformation numérique rapide qui a suivi l'affaire Covid a entraîné une complexification du paysage des menaces de cybersécurité. Compte tenu de l'interdépendance croissante des systèmes, des chaînes d'approvisionnement et d'autres éléments, une menace qui apparaît dans un secteur a des effets considérables. En d'autres termes, l'écosystème commercial de l'UE est plus interconnecté et interdépendant que jamais, et les membres doivent prendre des mesures contre les menaces dès maintenant pour s'assurer qu'ils sont prêts à faire face à des risques croissants. Alors que les États membres appliquent des normes de cybersécurité plus strictes pour améliorer la résilience, davantage d'entreprises doivent se préparer à la nouvelle donne.

La directive NIS a incontestablement amélioré la résilience des systèmes d'information dans l'UE, mais compte tenu de l'évolution rapide de l'économie numérique, elle a également montré certaines limites.

Selon le site Internet de l'Union européenne, la directive NIS n'a pas atteint ses objectifs :

  • Préparer les entreprises de l'UE à faire face aux menaces de cybersécurité
  • Préparer les États membres et les secteurs à faire preuve de résilience face aux menaces de cybersécurité
  • Faire en sorte que les États membres aient une vision commune des principales menaces et des principaux défis en matière de cybersécurité
  • Absence de réponse commune

Le NIS2 répond aux défis de la précédente directive NIS et les améliore en augmentant le nombre et le type d'entités soumises à la réglementation en matière de cybersécurité, en rationalisant les catégories de ces entités, en encourageant la collaboration entre les départements, en renforçant les exigences en matière d'établissement de rapports, etc.

Remplissage de diplômes

Quels sont les éléments clés du NIS2 ?

Extension du champ d'application :
Le NIS2 élargit le champ d'application des règles précédentes en incorporant des secteurs supplémentaires en fonction de leur numérisation, de leur interconnexion et de leur importance pour l'économie et la société. Il introduit un seuil de taille clair, englobant toutes les moyennes et grandes entreprises dans les secteurs sélectionnés. Les États membres auront toutefois toute latitude pour identifier les entités plus petites présentant un profil de risque élevé en matière de sécurité et les inclure dans le champ d'application de la directive.

Taxonomie simplifiée :
La nouvelle directive élargit le nombre d'entités soumises à une action réglementaire et simplifie leurs catégories en éliminant la distinction entre les opérateurs de services essentiels et les fournisseurs de services numériques. Selon la catégorie à laquelle appartient une entité (essentielle ou importante), la directive introduit de nouvelles exigences en matière de sécurité et de rapports.

Renforcement des exigences en matière de sécurité et de notification :
Le règlement renforce et rationalise les exigences en matière de sécurité et de notification pour les entreprises, en précisant les processus de notification des incidents, le contenu et les délais. Il vise à harmoniser les régimes de sanctions dans les États membres afin de garantir la cohérence des sanctions en cas de non-respect des règles.

La clé pour obtenir l'adhésion à votre feuille de route en matière de gestion des cyberrisques dans un contexte de restrictions budgétaires et de défis en matière de personnel.

La cohérence grâce à la collaboration :
Le NIS2 s'appuie sur les relations et les organismes de réglementation existants pour assurer la cohérence entre les États membres, en ce qui concerne les sanctions, et la coordination avec d'autres entités. Le site web dédié indique que "les États membres, en coopération avec la Commission et l'ENISA, peuvent procéder à des évaluations coordonnées des risques de sécurité des chaînes d'approvisionnement critiques au niveau de l'Union, en s'appuyant sur l'approche fructueuse adoptée dans le contexte de la recommandation de la Commission sur la cybersécurité des réseaux 5G". Le NIS2 renforce également le rôle du groupe de coopération dans l'élaboration des décisions politiques stratégiques et développe la communication et la coordination par l'intermédiaire du réseau européen d'organisations de liaison en cas de cybercrise.

Nouveau cadre gouvernemental :
Le NIS2 crée un cadre de base pour gérer les vulnérabilités dans l'ensemble de l'UE. Ce cadre comprend, par exemple, une base de données européenne sur les vulnérabilités qui sera gérée et entretenue par l'agence de l'UE pour la cybersécurité.

Comment les entreprises sont-elles impliquées dans le NIS2 ?

Les entreprises qui s'apprêtent à entrer dans le NIS2 prennent note des exigences renforcées en matière de sécurité et d'établissement de rapports. Les États membres attendront des entreprises soumises au NIS2 qu'elles gèrent, préviennent et minimisent l'impact des incidents sur les destinataires de leurs services. D'une manière générale, les évaluations des risques seront plus rigoureuses et les exigences en matière de rapports plus précises.

L'article 21 de la NIS2 stipule que "les États membres veillent à ce que les entités essentielles et importantes prennent des mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées pour gérer les risques qui pèsent sur la sécurité des réseaux et des systèmes d'information que ces entités utilisent pour leurs activités ou pour la fourniture de leurs services, et pour prévenir ou réduire au minimum l'impact des incidents sur les destinataires de leurs services et sur d'autres services".

Remplissage de diplômes

Comment le NIS2 gère-t-il les risques ?

La directive La directive prévoit que les entités concernées mettront en place et soutiendront

  • les politiques en matière d'analyse des risques et de sécurité des systèmes d'information ;
  • le traitement des incidents ;
  • la continuité des activités, comme la gestion des sauvegardes et la reprise après sinistre, et la gestion de crise ;
  • la sécurité de la chaîne d'approvisionnement, y compris les aspects liés à la sécurité des relations entre chaque entité et ses fournisseurs directs ou ses prestataires de services
  • la sécurité dans l'acquisition, le développement et la maintenance des réseaux et des systèmes d'information, y compris le traitement et la divulgation des vulnérabilités ;
  • des politiques et des procédures pour évaluer l'efficacité des mesures de gestion des risques liés à la cybersécurité ;
  • les pratiques de base en matière d'hygiène cybernétique et la formation à la cybersécurité ;
  • les politiques et procédures relatives à l'utilisation de la cryptographie et, le cas échéant, du chiffrement ;
  • la sécurité des ressources humaines, les politiques de contrôle d'accès et la gestion des actifs ;
  • l'utilisation de solutions d'authentification multifactorielle ou d'authentification continue, de communications vocales, vidéo et textuelles sécurisées et de systèmes de communication d'urgence sécurisés au sein de l'entité, le cas échéant.

Les entreprises n'attendent pas le mois d'octobre pour commencer. Au contraire, elles commencent dès maintenant leurs évaluations des risques, leurs formations internes et leur documentation.

Certaines mesures sont prises :

  • Procéder à une évaluation complète
  • Comprendre l'applicabilité et la classification
  • Révision et mise à jour des politiques et procédures
  • Renforcer les mesures de sécurité
  • Mettre en place des capacités de réponse aux incidents
  • Faciliter l'échange d'informations et la coopération
  • Rester informé et s'engager auprès des autorités
  • Investir dans la formation et la sensibilisation
  • Suivre l'évolution de la réglementation

Contactez notre équipe pour plus d'informations sur la façon dont vos équipes peuvent tirer parti des solutions Mitratech avec le cadre et les modèles NIS2 facilement disponibles pour accélérer votre parcours de conformité NIS2 et utiliser les puissants avantages d'un partenariat avec la technologie GRC de nouvelle génération.

Remplissage de diplômes

D'autres blogs pourraient vous intéresser :

Notre priorité ? Votre réussite.

Planifiez une démonstration ou renseignez-vous sur les produits, les services et l'engagement de Mitratech.

Nous contacter