Préparez vous à NIS v2
15/04/2024
NIS c'est quoi ? et pourquoi v2 ?
NIS est l'acronyme de Network and Information Security (Sécurité de l'information et du réseau), c'est une
NIS v2 vise principalement à :
- Renforcer la résilience face aux cyberattaques,
- Améliorer la détection, l'analyse et la réponse aux incidents de cybersécurité au sein de l'ensemble des membres de l'Union,
- Accroître la coopération entre les Etats membres en matière de cybersécurité.
Qui est impacté ?
La directive fixe un certain nombre de secteurs d'activités comme devant appliquer la directive. Elle propose une catégorisation en "important" ou "essentiel" pour les différents secteurs, ces dénominations indiquant un niveau de mise en œuvre attendu pour chacun des thèmes.
Concrètement, les annexes 1 et 2 indiquent la liste des secteurs, liste étendue par rapport à la directive NIS v1. Les opérateurs de services essentiels (eau, énergie, transport, banque, santé, ...) ou encore les fournisseurs de services numériques sont dans le périmètre. On peut aussi constater que les secteurs d'activité de service de messagerie ou de fournisseur de service cloud ont été ajoutés. Au total ce sont 11 secteurs jugés hautement critiques et 7 secteurs critiques qui sont concernés.
Le texte officiel est disponible sur le site de l'Union Européenne : eur-lex.europa.eu/legal-content; reportez-vous aux annexes 1 et 2 pour avoir le détail des secteurs.
Les attendus de NIS v2 ?
Une fois qu'on a déterminé si on est impacté par NIS v2, reste à savoir quoi faire. La principale mesure, à notre sens, est d'insuffler le principe de la gouvernance de la cybersécurité par la gestion des risques. C'est réellement un bienfait. Plutôt que de faire un certain nombre d'actions en fonction des besoins métiers, des budgets ou des conseils reçus, l'idée ici est de réaliser une analyse de risques cyber, puis d'en prendre les résultats pour guider la cybersécurité dans l'entité. Ce qui se comprend aisément, déjà entre deux secteurs d'activités les enjeux ne sont pas identiques, mais même au sein d'un secteur, la taille, et la typologie de clientèle vont influencer les besoins en cybersécurité.
Le premier point est donc une exigence de mise en place d'un
Un deuxième point est la gestion des incidents de cybersécurité. Désormais il conviendra de mettre en place un processus adéquat permettant de gérer correctement les incidents mais aussi de les notifier aux autorités compétentes et ce dans un délai de 72h, à l'instar du RGPD qui demande également une telle réactivité en cas d'incident en lien avec des données personnelles.
La mise en œuvre de mesures de sécurité techniques et organisationnelles fortes seront aussi des attendus, tout comme la réalisation régulière de tests de pénétration et d'audits de sécurité.
Enfin, une nouveauté importante au-delà des secteurs d'activités impactés directement par la directive, est l'obligation pour les entreprises concernées de sécuriser aussi leurs chaînes d'approvisionnement (donc leurs sous-traitants). Les sous-traitants devront d'ailleurs se soumettre à des audits de sécurité et appliquer les recommandations préconisées lorsqu'elles sont en affaire avec des entreprises directement concernées par NIS v2.
On risque quoi ?
Le régime de sanction a également été revu par rapport à NIS v1, et il est maintenant plus étendu. En effet, outre l'entreprise qui peut risquer jusqu'à 10 millions d'euros ou 2% du chiffre d'affaires annuel mondial (le montant le plus élevé étant celui qui s'applique), la responsabilité personnelle des dirigeants peut être elle aussi engagée.
Les entreprises qui enfreignent les règles de manière persistante ou qui ne dimensionnent clairement pas les moyens mis en œuvre au regard des enjeux pourront voir leur équipe de direction sanctionnée, et la responsabilité des dirigeants engagée.
Comment on avance ?
La première étape est de se rendre compte qu'on est impacté et qu'il va falloir faire quelque-chose pour se mettre en accord avec ce qui est demandé par la directive.
La suite est assez classique en cybersécurité, une fois que la direction a acté qu'il fallait s'engager, il faut identifier les axes prioritaires d'amélioration. Pour se faire, la mise en place d'une gestion des risques de cybersécurité est cruciale, elle permet d'identifier les axes d'amélioration principaux et les suivants au regard de l'écosystème de l'entreprise et ainsi d'engager une démarche pérenne et structurée axée sur l'amélioration continue.
Bien entendu, cette gestion des risques s'accompagnera de la mise en musique de l'aspect organisationnel de la cybersécurité : la gouvernance, la politique et ses directives seront nécessaires pour une amélioration des processus au regard de la sécurité des informations.
La mise en œuvre de mesures de sécurité techniques sera une réponse opérationnelle aux besoins identifiés par l'analyse de risques, tout autant que le déploiement de formations et de sensibilisations auprès des collaborateurs de l'entreprise.
La gestion des incidents de sécurité, notamment leur notification auprès des autorités compétentes, la gestion des crises de cybersécurité et la mise en œuvre des principes de résilience soutiendront les premiers chantiers engagés et répondront aux obligations.
Enfin, la sécurité de l'information tout au long de la chaîne d'approvisionnement de l'organisme sera une brique majeure et importante de la cybersécurité et de la réponse aux demandes de la réglementation.
Pour tous ces axes, Besecure vous accompagne pour gagner en sérénité quant à leur réflexion, élaboration et mise en œuvre au sein de votre entité.
Vous trouvez cet article intéressant ? Vous pouvez le partager sur LinkedIn ou X (ex Twitter) grâce aux liens ci-dessous. Vous pouvez aussi nous suivre sur LinkedIn et lire les articles et actualités que nous publions.