Network and Information Security
Directive NIS 2: Renforcer la cybersécurité en Europe
La directive européenne NIS 2 est une initiative cruciale de l’Union Européenne visant à renforcer la cybersécurité dans les États membres, en particulier dans les secteurs critiques tels que l’énergie, les transports et la santé. Cette directive exige que les pays membres mettent en œuvre ses dispositions, améliorant ainsi leurs cadres nationaux de cybersécurité. Bien qu’elle se concentre sur les grandes organisations, les petites entreprises sont généralement exemptées de ses exigences. Cette page offre un aperçu concis des éléments clés de la directive européenne NIS 2, des secteurs concernés, de savoir si vous êtes concerné ou non, ainsi que les éventuelles amendes. Cette page illustre comment l’Europe prévoit d’améliorer sa résilience numérique. Pour des conseils d’experts sur la conformité à la directive NIS 2, veuillez nous contacter.
Nous contacter
Historique des directives européennes en termes de cyber-sécurité : de NIS 1 vers NIS 2
En France, le concept d’OIV (Opérateur d’importance vitale) a été introduit par la loi de programmation militaire pour identifier et protéger les opérateurs d’infrastructures critiques dont les services sont essentiels au fonctionnement de la société et de l’économie de la France (santé publique et sécurité).
L’identification et la protection des OIV ont été mises en œuvre par le biais de législations nationales dans chaque pays. Chaque pays a défini ses critères et sa liste d’OIV en fonction de ses intérêts nationaux spécifiques et de son infrastructure. Par la suite, la directive européenne NIS a été planifiée comme une homogénéisation des exigences de cybersécurité pour l’ensemble des pays de l’UE.
NIS 1 (Directive sur la sécurité des réseaux et des systèmes d’information)
Adoptée par l’Union européenne en juillet 2016, la directive NIS 1 a marqué la première législation à l’échelle de l’UE sur la cybersécurité. En tant que directive de l’UE, elle nécessitait une transposition en droit national de la part de chaque État membre. Les pays devaient adopter et mettre en œuvre la directive dans leurs cadres juridiques, garantissant ainsi la conformité des opérateurs au sein de leurs juridictions.
Les principaux objectifs consistaient à améliorer les capacités nationales en matière de cybersécurité, de renforcer la coopération entre les États membres de l’UE et de promouvoir une culture de gestion des risques et de déclaration des incidents parmi les secteurs économiques clés. La directive NIS 1 se concentrait sur les Opérateurs de Services Essentiels (OSE) et les Fournisseurs de Services Numériques (FSN). Ceux-ci comprenaient :
OSE : Opérateurs de Services Essentiels
Compagnies d’énergie, entreprises de transport, services bancaires et financiers, institutions de santé, entreprises de fourniture et de distribution d’eau, et fournisseurs d’infrastructures numériques.
FSN : Fournisseurs de Services Numériques
Places de marché en ligne, moteurs de recherche en ligne et fournisseurs de services de type cloud computing.
NIS 2 (Directive sur la sécurité des réseaux et des systèmes d’information 2)
La directive NIS 2 reprends les exigences posées par la directive NIS 1 tout en incluant un éventail plus large de secteurs et d’entités clés. Elle introduit des exigences de sécurité plus strictes, une responsabilité accrue et des obligations de déclaration des incidents renforcées. Elle vise à répondre à l’évolution du paysage de la cybersécurité et aux limitations de la directive NIS 1. L’Union européenne a adopté la directive NIS 2 en décembre 2020.
Vous trouverez ci-dessous un tableau montrant les critères requis pour déterminer si votre entreprise est concernée par la directive NIS 2.
Contactez nos experts pour être informé sur NIS 2 !
Nous contacterClassification et état des lieux de la transposition NIS 2
La directive NIS 2, adoptée par l’UE en décembre 2020, s’appuie sur la directive NIS 1 pour répondre aux menaces de cybersécurité et d’étendre son champ d’application. Elle oblige les États membres à intégrer ses dispositions dans leur droit national, couvrant davantage de secteurs tels que l’administration publique, l’espace, la gestion des déchets et les services numériques essentiels. Vous pouvez voir à droite la maturité de la directive NIS 2 dans différents pays de l’UE en Mai 2024.
La directive NIS 2 catégorise les entreprises en fonction de leur taille et de leurs indicateurs financiers, et introduit des exigences distinctes selon que l’entreprise est classée comme Entité Essentielle (EE) ou Entité Importante (EI). Les classifications EE ou EI sont déterminées par la taille de l’entreprise et son appartenance à un secteur critique.
Pour en savoir plus, vous pouvez consulter le site de l’ANSSI sur la directive NIS 2 ou directement le site officiel de l’UE sur la directive NIS 2 disponible dans toutes les langues.
Si vous avez besoin d’aide, n‘hésitez pas à nous contacter via le formulaire de contact pour que nous puissions vous assister. La page NIS 2 sur notre blog fournit également des informations complémentaires.
Principales évolutions de la directive NIS 2 par rapport à NIS 1
Champ d’application élargi : La NIS 2 couvre davantage de secteurs et inclut un éventail élargi d’entités en fonction de leur taille et de leur impact économique.
Gestion des risques : Les Entités Essentielles et Importantes doivent adopter des pratiques de gestion des risques complètes, mais les Entités Essentielles sont soumises à des normes plus rigoureuses.
Déclaration des incidents : Les deux catégories doivent déclarer les incidents, mais les Entités Essentielles ont des obligations de déclaration plus strictes et plus rapides.
Application : Les sanctions et pénalités sont échelonnées, les Entités Essentielles faisant face à des pénalités (amendes) plus élevées en cas de non-conformité.
En différenciant les exigences en fonction de la classification des entités, la directive NIS 2 vise à garantir que les infrastructures et services critiques soient solidement protégés contre les menaces de cybersécurité, tout en tenant compte de la taille et de la capacité des entreprises conncernées.
Impact de NIS 2 sur les entreprises françaises
Quelles mesures les entreprises doivent-elles mettre en place pour se conformer à la directive NIS 2 ? En 2024, il n’y aura probablement pas d’amendes imposées par l’ANSSI (en France), mais il est fort possible que cela change à l’avenir. Les entreprises concernées doivent donc se préparer dès maintenant à se conformer à la directive NIS 2.
L’ANSSI a commencé à partager un premier document afin de préparer la mise en conformité opérationelle par rapport à NIS 2. Les entreprises doivent prendre en compte les mesures suivantes :
– Utilisation d’outils de gestion des actifs informatiques (asset management)
– Sauvegardes régulières
– Politique de réponse aux incidents
– Mises à jour et mises à niveau régulières
– Utilisation d’un antivirus efficace
– Politique de mot de passe robuste
– Pare-feu actif
– Messagerie sécurisée contre le phishing
Notre accompagnement des entreprises clientes dans le cadre de la mise en conformité à la directive NIS 2
Pour aider les organisations à répondre aux exigences de la directive NIS 2, nous offrons une suite complète de services conçus pour renforcer la résilience en matière de cybersécurité au niveau organisationnel.
Développement et mise en œuvre de politiques de sécurité (PSSI)
Nous vous assistons dans la création et la mise en œuvre de politiques de sécurité robustes (PSSI = Politique de Sécurité du Système d’Information) adaptées aux besoins spécifiques de votre organisation. Ces politiques constituent la base d’une gouvernance dans le domaine de la cybersécurité.
Charte du système d’information, de communication et des outils numériques
Nous aidons à développer et à appliquer une charte du système d’information, de communication et des outils numériques qui définit les politiques d’utilisation acceptable, les bonne pratiques ainsi que les respnsabilités des collaborateurs. Cette charte est cruciale pour favoriser une culture de sécurité au sein de l’organisation.
Programmes de formation et de sensibilisation des employés
Les erreurs humaines demeurent une vulnérabilité significative en cybersécurité. Nous proposons des programmes de formation complets pour sensibiliser les employés aux meilleures pratiques de l’informatique, à l’hygiène numérique, aux protocoles de sécurité, ainsi qu’à la reconnaissance et à la réponse aux menaces potentielles.
Gestion des risques cybersécurité
EBIOS Risk Manager (EBIOS RM) 🔗 est la méthode pour évaluer et traiter les risques numériques, publiée par l’Agence nationale de la sécurité des systèmes d’information (ANSSI) avec le soutien du Club EBIOS. Cette méthodologie offre une boîte à outils adaptable, don’t l’utilisation varie en fonction des objectifs du projet : création d’une PSSI, limiter le risque de cyberattaques.
NIS 2 : une amélioration de la résilience globale en matière de cybersécurité
La directive NIS 2 représente une avancée significative dans le paysage européen de la cybersécurité, en s’attaquant aux menaces croissantes qui pèsent sur les infrastructures et les services critiques. À l’approche de la date limite de mise en conformité, les organisations doivent prendre des mesures proactives pour s’aligner sur les exigences de la directive.
Nos services spécialisés sont conçus pour accompagner votre organisation dans cette transition, en veillant non seulement à ce que vous vous conformiez à la directive NIS 2, mais aussi à ce que vous amélioriez votre résilience globale en matière de cybersécurité.
En se préparant dès maintenant, votre organisation peut naviguer dans les complexités de NIS 2 en toute confiance et construire une défense solide contre les cyber-menaces.
