La Directive NIS 2, publiée au Journal Officiel de l’Union européenne en décembre 2022, représente une évolution significative en matière de cybersécurité. Elle s’appuie sur la Directive NIS 1 et élargit ses objectifs et son périmètre d’application pour renforcer la protection des systèmes d’information.
La Directive NIS 2 introduit également de nouvelles exigences pour les entités concernées. Elles comprennent des obligations plus strictes en matière de gestion des risques de sécurité et de maintien de la continuité des activités. Il est également prévu que les entités doivent mettre en place des politiques de sécurité de l’information et des procédures de gestion des incidents.
Quel est l’objectif de la Directive NIS 2 ?
L’objectif principal de la Directive NIS 2 est de renforcer le niveau de cybersécurité à travers l’Union européenne.
Pour rappel, la Directive NIS 1, adoptée en 2016, avait établi un cadre réglementaire visant à garantir un niveau élevé et commun de sécurité des réseaux et des systèmes d’information au sein des États membres. Toutefois, consciente des évolutions rapides du paysage numérique et des nouvelles menaces émergentes, l’Union européenne a jugé nécessaire d’aller plus loin.
Ainsi, la Directive NIS 2 vise à améliorer la résilience face aux cyberattaques et à étendre son champ d’application à davantage de secteurs. Elle renforce également les exigences en matière de sécurité pour les entreprises, tout en promouvant une coopération accrue entre les États membres dans la gestion des incidents de cybersécurité
Que doivent réaliser les entreprises concernées ?
🔃 Mise à jour des systèmes de sécurité
Les entreprises doivent évaluer et renforcer leurs mesures de cybersécurité pour protéger leurs réseaux et systèmes d’information.
👩🏫 Formation du personnel
Les employés doivent être formés aux risques de cybersécurité et aux meilleures pratiques pour les gérer.
🔥 Gestion des incidents
Les entreprises doivent établir des procédures pour prévenir, détecter et répondre rapidement aux incidents de sécurité.
🏛️ Coopération avec les autorités
Elles doivent être prêtes à travailler avec les autorités nationales et à se conformer aux obligations de déclaration des incidents.
Quelles sont les entreprises impactées ?
La Directive NIS 2 impacte un large éventail d’entreprises dans différents secteurs, tels que l’énergie, les transports, la santé, et les services financiers. Elle s’applique également à des secteurs numériques comme les fournisseurs de services cloud et les plateformes de partage de données.
Quelles sont les entreprises impactées ?
La Directive NIS 2, en principe, se concentre sur les entreprises et les fournisseurs de services dans des secteurs spécifiques. Cependant, certaines de ses dispositions pourraient affecter indirectement les collectivités locales, notamment si elles utilisent des services fournis par des entreprises soumises à cette directive. Par exemple, si une municipalité utilise un service cloud pour ses données, le fournisseur de ce service doit se conformer à la Directive NIS 2.
Quand cette directive devra être mise en place ?
Afin de respecter l’échéance européenne fixée en octobre 2024, l’ANSSI envisage deux temps :
La phase de préparation du projet de loi en 2023, en vue de sa présentation au Parlement et de son adoption au plus tôt pendant l’année 2024.
La phase de production des décrets et arrêtés qui aboutira à l’issue des consultations, afin de les soumettre à une validation interministérielle pour publication des textes dans les mois suivants la promulgation de la loi.
Comment devra être formalisé les obligations pour les entreprises ?
Les obligations des entreprises sous la Directive NIS 2 doivent être formalisées en adoptant des politiques et des procédures internes pour la gestion de la cybersécurité.
Cela inclut la mise en place de mesures de sécurité robustes, la formation du personnel, l’établissement de systèmes de détection et de réponse aux incidents, et la mise en œuvre de mécanismes de rapport conformément aux réglementations nationales.
Chaque entreprise doit évaluer ses propres risques et adapter ses stratégies pour répondre aux exigences spécifiques de la directive.
Si l'entreprise ne respecte pas ces obligations, que se passera-t-il ?
Le non-respect de la Directive NIS 2 peut avoir des conséquences graves sur la sécurité informatique de l’entreprise. En ne se conformant pas à cette directive, l’entreprise risque d’accentuer sa vulnérabilité aux cyberattaques. Ces attaques pourraient potentiellement causer des pertes de données critiques, des vols d’informations sensibles, ainsi que d’autres dommages significatifs. En négligeant de suivre les mesures de sécurité prescrites par la directive, l’entreprise expose ses systèmes et ses données à des menaces importantes, compromettant ainsi sa résilience face aux cyber menaces.
Quel est le rôle de l'ANSSI dans cette démarche ?
L’ANSSI joue un rôle clé dans sa transposition et sa mise en application au niveau national.
Que faire selon nous ?
Réaliser un diagnostic pour évaluer les failles de votre système d’information. Un diagnostic approfondi de votre système d’information est essentiel pour identifier les vulnérabilités potentielles. Cela implique une évaluation détaillée de tous les aspects de votre système, y compris les infrastructures matérielles et les outils, les protocoles de sécurité, les processus de gestion des données et les politiques de sauvegarde.
