Directive NIS2 : Renforcement de la cybersécurité en europe – obligations, secteurs concernés et nouveaux défis

Directive NIS2 : Renforcement de la cybersécurité en europe - obligations, secteurs concernés et nouveaux défis

Des milliers d’entreprises devront renforcer leurs normes en matière de sécurité en raison de l’adoption de la directive européenne NIS2 en janvier 2023. NIS2 est ambitieux et visionnaire et vise à atteindre une maturité cyber commune dans l’Union européenne. Avant septembre 2024, les dispositions devront être incorporées dans les lois nationales des 27 États membres.

Quelles sont les organisations concernées?

La directive NIS – Sécurité des réseaux et de l’information – fait partie d’un ensemble de réglementations larges destinées à améliorer la cybersécurité sur le marché européen, en particulier dans les secteurs qui sont fortement tributaires des technologies de l’information et de la communication. La nouvelle directive NIS2, qui est héritière de la NIS1, élargit son champ d’application, ce qui obligera davantage d’entités et de secteurs à respecter ses principes.

La directive NIS2 sera maintenue pour les secteurs déjà couverts par la directive NIS1, tels que les établissements de santé, les banques et les transports, mais elle se généralisera à de nouveaux secteurs d’activité, tels que les administrations publiques, les télécommunications, les plateformes de réseaux sociaux, les services postaux et le secteur spatial, entre autres.

Son extension aux entreprises, donc au secteur privé, est sans aucun doute l’autre changement majeur. Des milliers d’entreprises de toutes sortes, allant des PME aux groupes du CAC40, devront suivre les règles de cette nouvelle directive.

Enfin, une troisième évolution importante est apportée par NIS2 : l’ajout d’un mécanisme de proportionnalité, qui distingue deux catégories d’acteurs régulés en fonction de leur niveau de criticité : les entités essentielles et les entités importantes. L’Agence nationale de la sécurité des systèmes d’information (ANSSI) a l’intention de s’appuyer sur cette notion pour établir des normes spécifiques à chaque type d’entité.

Les responsabilités des organisations impliquées dans le NIS2:

De nouvelles obligations pour les entités concernées dans NIS2 ( Network and Information Security ) concernent le traitement des incidents, la gestion des risques, la sécurité de la chaîne d’approvisionnement, le chiffrement et la divulgation des vulnérabilités.

  • Signalement des incidents de sécurité : une approche en deux étapes est prévue par NIS2. Les entreprises impliquées auront 24 heures à compter de la survenance de l’incident pour soumettre un premier signalement via un rapport préliminaire à l’ANSSI. Un rapport final sera nécessaire dans un délai d’un mois.
  • Gestion des risques cyber : les entités devront prendre en compte la formation de leurs décideurs en gestion des risques. NIS2 met également l’accent sur l’obligation du corps managérial de participer au processus de validation des mesures de gestion des risques cyber.
  • Tests et audits de sécurité : NIS2 obligera les entités à effectuer fréquemment des tests et des audits techniques, tels que des tests d’intrusions et des scans de vulnérabilités, afin d’évaluer l’efficacité des mesures de sécurité mises en place.
  • Sécurité de la chaîne d’approvisionnement : les entreprises devront effectuer des travaux de due diligence sur la chaîne d’approvisionnement, notamment en examinant les pratiques de cybersécurité en vigueur avec leurs fournisseurs et prestataires de services.

Des sanctions appliquées en cas de non-respect

Enfin, la directive NIS 2 signifie également renforcer le régime de sanctions pour toutes les entités assujetties. Les sanctions comprennent des obligations d’audits de sécurité et de mise en conformité à des amendes administratives. Selon les infractions, le mécanisme prévu pourra être basé sur un pourcentage du chiffre d’affaires mondial de l’entité en question, avec une amende pouvant aller jusqu’à 10 millions d’euros, ou 2 % du chiffre d’affaires mondial, le montant le plus élevé étant retenu.

Ainsi, grâce à cette nouvelle réglementation, des milliers d’entreprises devront augmenter leur niveau de sécurité informatique.

18 octobre 2024: La date de la mise en conformité aux exigences NIS2

La mise en conformité aux exigences NIS2 ne sera exigée qu’en 18 octobre 2024. Les opérateurs de services essentiels (OSE) et les fournisseurs de services numériques doivent continuer à respecter les exigences prévues par NIS1 et les autres réglementations en matière de sécurité des systèmes d’information, en attendant la transposition de la directive en droit français.

De plus, les entités qui étaient déjà dans le champ d’application de NIS1 doivent continuer à travailler pour se conformer à la première version de la directive. Bien entendu, les efforts déployés jusqu’à présent ne seront pas perdus car la nouvelle version de la directive s’appuie sur les acquis de sa prédécesseuse.

La nouvelle directive NIS2 offre aux organisations une opportunité unique d’investir pour améliorer leur niveau de sécurité, alors que la cybermenace ne faiblit pas et que les systèmes d’information restent vulnérables. Les entreprises concernées ont tout intérêt à commencer à évaluer leur niveau de maturité en matière de cybersécurité dès maintenant. Pour ce faire, elles peuvent choisir de se faire accompagner par des experts pour réaliser l’état des lieux de leur système d’information et créer une feuille de route pertinente pour leur mise en conformité NIS2.

Des milliers d'entreprises devront renforcer leurs normes en matière de sécurité en raison de l'adoption de la directive européenne NIS2 en janvier 2023. NIS2

La certification ISO 27001 est pertinente dans tous les secteurs d’activité, mais ses applications spécifiques varient. Elle offre un socle solide pour la sécurité de l’information, renforçant ainsi la confiance des parties prenantes. Si vous cherchez à protéger vos données et à vous conformer aux normes de sécurité, envisagez la certification ISO 27001.

Pourquoi se former au digital learning chez Skills4All ?

Skills4All est un certificateur et organisme de formation en digital learning, qui vous prépare aux certifications les plus reconnues sur le marché : PMI, AXELOS, IASSC, DevOps Institute, PEOPLECERT, GASQ, CFTL, BESTCERTIFS, dans les domaines de la cybersécurité, de l’IT, la data, l’IA, l’agilité, Scrum, Prince2, Lean Six Sigma, Gestion de projet et bien plus encore.

Avec nous, c’est quand vous voulez, où vous voulez, 24/7/365, à votre rythme.

Nous proposons des formations certifiantes, éligibles au CPF et reconnues dans le monde entier.

Skills4All est accrédité par le COFRAC (Comité Français d’Accréditation) en tant que certificateur dans le domaine de la sécurité de l’information : nos certifications sont les meilleures du marché et répondent à la norme ISO 17024, la plus exigeante aujourd’hui. Obtenir une certification Skills4All ou BestCertifs aujourd’hui c’est le gage d’une reconnaissance forte du marché qui valorisera vos compétences.

N’attendez plus, réservez votre formation 100% en ligne immédiatement ou contactez-nous au (+33) 1-85-39-09-73 ou sur contact@skills4all.com.

Table des matières

Vous appréciez cet article. Merci de le partager !

Articles recommandés

S’inscrire à la newsletter