Votre cybersécurité en conformité avec la directive NIS2

Qu’est-ce que la NIS2 ?

NIS2 est une législation européenne conçue pour améliorer la cybersécurité au sein des entreprises de l’Union européenne. Il s’agit d’une révision et d’une extension de la directive NIS précédente, qui cible un plus large éventail d’organisations et de secteurs avec des exigences et des responsabilités renforcées.

Que prévoit la directive NIS2 ?

NIS2 oblige les entreprises à renforcer leur cybersécurité. Elle cible des secteurs critiques tels que l’énergie, le transport et la santé, ou encore les fournisseurs de services essentiels.

Pourquoi la NIS2 est-elle importante ?

La directive NIS2 impose des exigences accrues en matière de cybersécurité afin de minimiser les risques de cyberattaques et de renforcer la résilience des réseaux et des systèmes d’information.

Dois-je me conformer à NIS2 ?

NIS2 s’adresse à des secteurs spécifiques considérés comme essentiels ou importants. Les organisations opérant dans ces secteurs doivent se conformer aux exigences de NIS2 pour garantir leur cybersécurité :

Énergie

Ce secteur comprend les entreprises impliquées dans la production, la distribution et la fourniture d’électricité, de gaz et de pétrole.

Exemples: Centrales électriques, producteurs de gaz et de pétrole, gestionnaires de réseau.
Transports

Cela concerne les organisations actives dans l’aviation, le transport ferroviaire, le transport maritime et le transport routier.

Exemples: Compagnies aériennes, entreprises ferroviaires, ports et sociétés logistiques.
Santé

Ce secteur comprend les établissements et organisations impliqués dans les soins et services de santé.

Exemples: Hôpitaux, assurances santé, laboratoires et entreprises pharmaceutiques.
Services financiers

Il s’agit des organisations fournissant des services financiers, comme les banques et les compagnies d’assurance.

Exemples: Banques, prestataires de services de paiement, sociétés d’investissement et assureurs.
Infrastructure numérique

Ce secteur comprend les organisations offrant des services et infrastructures numériques, comme les fournisseurs d’accès à Internet et les services cloud.

Exemples: Centres de données, points d’échange Internet et fournisseurs de services cloud.
Administration publique

Cela concerne tous les niveaux d’administration responsables des services publics et des politiques.

Exemples: Administrations locales, régionales et nationales.

Je ne fais pas partie des secteurs concernés, dois-je me conformer à la NIS2 ?

Si votre organisation ne fait pas partie des secteurs couverts par la NIS2, vous n’êtes pas légalement tenu de respecter la directive. Cependant, il est important de considérer vos clients ou partenaires. Beaucoup d’entre eux peuvent être soumis à la NIS2, ce qui signifie qu’ils pourraient attendre de vous que vous respectiez certaines normes de sécurité.

Sécurité de la chaîne d’approvisionnement : Il s’agit d’un élément clé de la NIS2. Vos clients peuvent exiger que votre organisation prenne des mesures pour réduire leurs risques.

Avantage ou désavantage concurrentiel : Ne pas être conforme à la NIS2 peut vous désavantager par rapport à vos concurrents, car les clients pourraient privilégier des fournisseurs respectant cette directive. Investir dans la cybersécurité et s’aligner sur la NIS2 peut renforcer la confiance et ouvrir de nouvelles opportunités commerciales.

Quelles sont les obligations de la NIS2 ?

La directive NIS2 impose un certain nombre d’obligations aux organisations.

Obligation d’enregistrement NIS2

L’obligation d’enregistrement NIS2 s’applique à toutes les entreprises moyennes et grandes appartenant à l’un des 18 secteurs définis dans la directive. Elles doivent s’inscrire dans le registre des entités en tant qu’entité NIS2.
Organisations essentielles
- Doivent s’enregistrer dans le registre NIS2.
- L’enregistrement doit être effectué avant le 18 mars 2025.
Organisations importantes
- Doivent également s’enregistrer dans le registre NIS2, mais avec des exigences moins complexes.
- Responsabilité de maintenir l’enregistrement à jour.
Évaluation et analyse des risques

Une évaluation approfondie et une analyse des risques en matière de cybersécurité sont une obligation clé de la directive NIS2.
Organisations essentielles
- Réaliser une analyse de risques approfondie au moins une fois par an.
- Développer un plan pour traiter les risques identifiés.
Organisations importantes
- Effectuer une analyse des risques, mais moins fréquemment (ex. tous les deux ans).
- Identifier les risques de base et élaborer un plan d’atténuation.
Mise en œuvre des mesures de cybersécurité

Si votre auto-évaluation indique que vous devez respecter la NIS2, vous êtes tenu de prendre des mesures appropriées pour protéger vos réseaux et systèmes d’information, y compris des formations poussées en cybersécurité pour les responsables IT.
Organisations essentielles
- Mettre en place des mesures techniques et organisationnelles robustes.
- Suivre des normes spécifiques et évaluer régulièrement les mesures.
Organisations importantes
- Mettre en place des mesures de base.
- Adopter une politique simplifiée et documenter les mesures mises en œuvre.
Obligation de déclaration des incidents

En cas d’incident, l’organisation doit le signaler dans un délai imparti via un système centralisé et peut faire l’objet d’un contrôle.
Organisations essentielles
- Signaler les incidents de sécurité dans les 24 heures via un système centralisé.
- Rédiger un rapport détaillé sur l’incident, son impact et les mesures correctives.
Organisations importantes
- Déclarer également les incidents dans les 24 heures, mais avec moins de détails.
- Mettre en place un protocole interne simplifié de déclaration des incidents.

Comment se préparer à NIS2 ?

Évaluation de vos mesures de sécurité actuelles
- Réalisez un audit pour comprendre où en est votre organisation par rapport aux exigences de NIS2.
- Identifiez et documentez les vulnérabilités actuelles de votre sécurité informatique.
Mise en œuvre des mesures requises
- Assurez-vous de mettre en place et de maintenir les mesures de sécurité nécessaires.
- Mettez en œuvre ou améliorez les processus de gestion des incidents et des risques.
Formation et sensibilisation
- Formation des employés : Formez tous les employés à la cybersécurité afin qu'ils puissent reconnaître les risques et réagir de manière appropriée aux incidents.
- Formation pour la direction : Assurez-vous que les cadres dirigeants suivent une formation spécifique sur la directive NIS2. Leur implication est essentielle, car ils sont responsables de la conformité et des stratégies de cybersécurité efficaces.
- Culture de sensibilisation à la cybersécurité : L'engagement actif de la direction favorise une culture de sensibilisation et de responsabilité au sein de l'organisation.
Évaluation régulière
- Maintenez vos mesures de sécurité à jour et effectuez des évaluations de risques périodiques.
- Restez informé des évolutions législatives et des meilleures pratiques en matière de cybersécurité.

La cybersécurité selon la directive NIS2

Qu’est-ce que la NIS2 ?

Que prévoit la directive NIS2 ?

Pourquoi la NIS2 est-elle importante ?

Dois-je me conformer à NIS2 ?

Énergie

Transports

Santé

Services financiers

Infrastructure numérique

Administration publique

Je ne fais pas partie des secteurs concernés, dois-je me conformer à la NIS2 ?

Quelles sont les obligations de la NIS2 ?

Obligation d’enregistrement NIS2

Organisations essentielles

Organisations importantes

Évaluation et analyse des risques

Organisations essentielles

Organisations importantes

Mise en œuvre des mesures de cybersécurité

Organisations essentielles

Organisations importantes

Obligation de déclaration des incidents

Organisations essentielles

Organisations importantes

Sanctions et amendes

Comment se préparer à NIS2 ?

Évaluation de vos mesures de sécurité actuelles

Mise en œuvre des mesures requises

Formation et sensibilisation

Évaluation régulière

Conseil NIS2