ParticuliersEntreprisesPartenaires
IT Compliance & Regulations Cybersecurity Awareness
13 min de lecture

Qu’est-ce que NIS2 ? (et autres questions fréquentes)

Bitdefender Enterprise

Septembre 01, 2023

Qu’est-ce que NIS2 ? (et autres questions fréquentes)

Du RGPD à NIS2

Le RGPD est sans doute la norme réglementaire qui a eu le plus d'impact et qui a changé la façon dont les entreprises travaillent. Il s'agit d'une législation européenne, mais les organisations du monde entier ont pris conscience de la portée de la norme réglementaire et ont décidé qu'il était logique de suivre les réglementations du RGPD, même si une entreprise n'avait qu'une présence minimale dans l'UE (Union Européenne).

Avec le RGPD, la confidentialité, la sécurité, la protection et les droits des données doivent être garantis au niveau de l'utilisateur et du client. Le règlement a été conçu pour donner aux utilisateurs plus de contrôle et de transparence sur les données que les entreprises collectent sur eux. Bien que quelques années seulement se soient écoulées depuis la mise en œuvre de la loi, celle-ci a modifié le paysage de la manière dont les entreprises traitent les données des utilisateurs.

Nous pensons qu'il existe une nouvelle norme de conformité qui pourrait avoir un impact tout aussi important que le RGPD, mais les discussions à son sujet ont été minimes. Il s'agit d'une norme de conformité basée dans l'UE, appelée directive NIS2, qui a un impact sur un nombre beaucoup plus important d'entreprises que la directive NIS originale.

Il s'agit d'une nouvelle directive sur la cybersécurité qui vise à établir des rapports de base sur les incidents, la gestion des risques de cybersécurité, la gestion des risques de la chaîne d'approvisionnement, et impose de lourdes amendes en cas de non-conformité. Alors que le RGPD visait à améliorer les normes de confidentialité et de sécurité au niveau des données des utilisateurs, NIS2 vise à améliorer les normes de confidentialité et de sécurité pour les entreprises et les organisations dans leur ensemble.

Même si les entreprises ne devront pas se conformer à cette nouvelle directive avant l'automne 2024, il est important qu'elles soient prêtes le plus tôt possible, car la mise en conformité peut nécessiter un effort important, en fonction des contrôles et de la stratégie de cybersécurité dont disposent actuellement les entreprises. En donnant la priorité à la mise en conformité avec la directive NIS2 dès maintenant, les entreprises peuvent s'assurer qu'elles respecteront la date limite et n'auront pas à se démener à l'approche de cette date.

Dans cet article, nous allons passer en revue les questions les plus courantes que vous pouvez vous poser sur NIS2.

Questions fréquemment posées sur NIS2

Qu'est-ce que la directive NIS ?

La NIS est la directive sur la sécurité des réseaux et de l'information (Network and Information Security), un texte législatif européen sur la cybersécurité, qui est une forme élargie de la directive NIS initiale.

Le NIS2 élargit les entreprises auxquelles il s'applique à plusieurs secteurs et impose des exigences plus spécifiques et plus strictes en matière de cybersécurité et de gestion des risques, tout en augmentant les amendes et les sanctions en cas de non-conformité.

Le NIS2 exige notamment que les entreprises :

Gèrent les risques au sein de leur réseau et de leurs systèmes d'information

Mettent en œuvre une norme minimale de mesures de sécurité portant sur la sécurité de la chaîne d'approvisionnement, la gestion des vulnérabilités, l'évaluation de la gestion des risques de cybersécurité, etc.

Se concentrent davantage sur la gestion des risques critiques de la chaîne d'approvisionnement.

Mettent en place un organe de gestion qui supervise et approuve les mesures de cybersécurité et qui est formé à ces mesures.

Respectent une fenêtre d'intervention spécifique, qui peut aller de 24h à 72h après avoir pris connaissance de l'incident, et publier un rapport final un mois après la notification de l'incident.

Vous trouverez le texte exact du NIS2 ici.

Pourquoi n'ai-je jamais entendu parler de NIS ou de NIS 1 ?

NIS 1, ou simplement NIS, a été initialement adopté en 2016, mais les entreprises auxquelles il s'appliquait étaient limitées, en particulier par rapport au NIS 2. NIS ne prévoyait également qu'une mise en œuvre minimale et des sanctions beaucoup moins sévères en cas de non-respect.

Qui est concerné par NIS2 ?

NIS2 étant une directive européenne, il s'applique à toutes les entreprises basées dans un État membre de l'UE.

La nouvelle directive s'applique aux entreprises désignées comme "entités essentielles" et "entités importantes". Bien que le seuil de taille varie selon les secteurs, les entités essentielles comprennent les entreprises employant 250 employés ou plus et réalisant un chiffre d'affaires de 50 millions d'euros ou un bilan de 43 millions d'euros. Les entités importantes sont les entreprises qui emploient plus de 50 employés et dont le chiffre d'affaires annuel ou le bilan s'élève à 10 millions d'euros.

Les secteurs applicables au sein des entités essentielles sont les suivants :

  • Energie
  • Transport
  • Marchés financiers et bancaires
  • Infrastructures numériques et gestion des services TIC, y compris les fournisseurs de services informatiques dans le cloud
  • Administrations publiques
  • Aérospatial

Les secteurs applicables au sein des "entités importantes" sont les suivants :

Tous les secteurs au sein des entités essentielles mais avec le seuil de taille "Entités importantes"

  • Services postaux
  • Gestion des déchets
  • Fabrication, production et distribution de produits chimiques
  • Production
  • Fournisseurs de services digitaux
  • Organismes de recherche

Si une entité ne remplit pas ces conditions mais est un "fournisseur unique" sociétal ou économique critique au sein d'un État membre, elle peut être désignée comme une entité essentielle ou importante. Toutefois, les États membres doivent finaliser leur liste d'entités essentielles et importantes d'ici avril 2025.

Quelles sont les principales différences entre NIS et NIS2 ?

Outre le fait qu'elle élargit considérablement le champ des entreprises qui doivent se conformer à la NIS2, la nouvelle directive prévoit également des amendes beaucoup plus lourdes et détaille des règles et des mesures d'application plus strictes dont disposent les régulateurs pour s'assurer que les entreprises se conforment à la NIS2.

Il s'agit notamment de pouvoirs d'enquête et de surveillance :

  • Inspections sur site
  • Audits de sécurité
  • Demande d'informations complémentaires pour évaluer les mesures de cybersécurité d'une organisation
  • Analyses de sécurité
  • Demande de preuves et d'informations pour évaluer les politiques de gestion des risques et de cybersécurité, les données, la documentation et d'autres informations

Les entités essentielles peuvent faire l'objet d'audits et d'inspections à tout moment. Les entités importantes, en revanche, ne peuvent faire l'objet d'une enquête qu'après un incident.

Dois-je m'intéresser à NIS2 même si je ne fais pas partie de I'UE ?

Bien que des amendements au NIS2 soient encore attendus, nous pensons que le NIS2 peut s'appliquer à toute entreprise exerçant des activités au sein de l'UE.

Quelles sont les amendes ou les sanctions si mon organisation ne suit pas la directive NIS2 ?

Les organisations qui ne se conforment pas à la directive NIS2 s'exposent à de lourdes amendes.

- Les entités essentielles risquent jusqu'à 10 millions d'euros ou 2 % de leur chiffre d'affaires global.

- Les entités importantes risquent jusqu'à 7 millions d'euros ou 1,4 % de leur chiffre d'affaires global.

Pour toutes les entités, c'est le nombre le plus élevé des deux qui sera retenu. Des sanctions non pécuniaires supplémentaires peuvent être imposées aux organisations qui ne respectent pas les règles. Il s'agit notamment d'injonctions de se conformer, d'instructions contraignantes, d'obligations de notification et de rapport aux parties concernées, et de mises en œuvre pouvant découler des résultats d'audits de sécurité.

Quand la directive NIS2 sera-t-elle mise en oeuvre ? 

NIS2 a été officiellement publié le 27 décembre 2022 et est entré en vigueur le 16 janvier 2023. Les États membres de l'UE sont tenus d'incorporer la NIS2 dans leur législation nationale d'ici le 18 octobre 2024. Les organisations concernées doivent également se conformer à cette directive d'ici le 18 octobre 2024.

Comment puis-je m'assurer que je respecte la directive NIS2 ?

Bien que des modifications soient encore apportées au NIS2, nous ne nous attendons pas à ce que beaucoup de choses changent et les entreprises devraient commencer à mobiliser leurs départements pour pouvoir se conformer à cette nouvelle directive. Voici quelques étapes recommandées :

  • Identifier les unités d'affaires, les départements et les filiales qui entrent dans le champ d'application de NIS2.
  • Évaluer l'état actuel de la gestion des risques et de la cybersécurité de votre organisation afin de découvrir les lacunes à combler pour assurer la conformité.
  • Consulter votre service juridique afin d'établir un calendrier et une stratégie de mise en conformité avec le NIS2.
  • Contacter votre chaîne d'approvisionnement et les tiers critiques pour vous assurer qu'ils sont également au courant de cette directive NIS2 et que vous devrez travailler ensemble pour traiter les nouveaux éléments de gestion des risques de la chaîne d'approvisionnement et des tiers de NIS2.
  • Travailler avec les chefs de service et les principales parties prenantes pour vous assurer qu'ils sont en phase avec la stratégie et qu'ils peuvent mobiliser leurs services, leurs systèmes et leurs ressources en temps voulu.

Conformité à la directive NIS2

La manière dont les organisations se mettent en conformité varie en fonction de l'environnement, des contrôles et politiques de sécurité existants et de la stratégie actuelle de gestion des risques. Si vous disposez déjà d'une solide stratégie de cybersécurité et de cyber-résilience, il se peut que vous n'ayez pas grand-chose à changer. En revanche, pour les petites organisations ou les départements disposant de moins de ressources, il s'agira peut-être d'une entreprise de plus grande envergure.

Nos recherches et nos analystes sont toujours au fait des nouveaux cadres réglementaires et nos diverses solutions et partenariats disponibles peuvent aider les entreprises à se mettre en conformité avec le NIS2 sans perdre de temps.

Pour en savoir plus sur comment préparer votre organisation à la conformité avec la Directive NIS2, contactez Bitdefender.

Contact an expert

tags

IT Compliance & Regulations Cybersecurity Awareness

Auteur

Bitdefender Enterprise

Bitdefender Enterprise

Bitdefender is a cybersecurity leader delivering best-in-class threat prevention, detection, and response solutions worldwide. Guardian over millions of consumer, enterprise, and government environments, Bitdefender is one of the industry’s most trusted experts for eliminating threats, protecting privacy, digital identity and data, and enabling cyber resilience. With deep investments in research and development, Bitdefender Labs discovers hundreds of new threats each minute and validates billions of threat queries daily. The company has pioneered breakthrough innovations in antimalware, IoT security, behavioral analytics, and artificial intelligence and its technology is licensed by more than 180 of the world’s most recognized technology brands. Founded in 2001, Bitdefender has customers in 170+ countries with offices around the world.

Voir toutes les publications

Actualités Les + populaires

Maîtriser les premiers gestes critiques après une cyberattaque
Enterprise Security Endpoint Detection and Response

Maîtriser les premiers gestes critiques après une cyberattaque

Avril 19, 2024

Nouveautés de la plateforme GravityZone - Avril 2024 (v 6.49)
Enterprise Security Endpoint Protection & Management

Nouveautés de la plateforme GravityZone - Avril 2024 (v 6.49)

Avril 18, 2024

La gestion de la posture de sécurité du cloud complète la sécurité native du cloud
Enterprise Security Cloud Security

La gestion de la posture de sécurité du cloud complète la sécurité native du cloud

Mars 19, 2024

Bitdefender rejoint le Club Décision DSI
Enterprise Security

Bitdefender rejoint le Club Décision DSI

Mars 06, 2024

FOLLOW US ON SOCIAL MEDIA

SUBSCRIBE TO OUR NEWSLETTER

Don’t miss out on exclusive content and exciting announcements!

Vous pourriez également aimer

Maîtriser les premiers gestes critiques après une cyberattaque
Enterprise Security Endpoint Detection and Response

Maîtriser les premiers gestes critiques après une cyberattaque
Bitdefender Enterprise

Avril 19, 2024

Nouveautés de la plateforme GravityZone - Avril 2024 (v 6.49)
Enterprise Security Endpoint Protection & Management

Nouveautés de la plateforme GravityZone - Avril 2024 (v 6.49)
Grzegorz Nocoń

Avril 18, 2024

La gestion de la posture de sécurité du cloud complète la sécurité native du cloud
Enterprise Security Cloud Security

La gestion de la posture de sécurité du cloud complète la sécurité native du cloud
Shaun Donaldson

Mars 19, 2024

Marque-pages

loader