NIS2 : s’adapter à la menace cyber
NIS2 : qu’est-ce que c’est ?
NIS pour Network and Information system Security (Sécurité des Réseaux et des systèmes d’Information).
La directive NIS2 est une loi européenne qui oblige les entreprises et les administrations qui fournissent des services essentiels ou importants (comme l’énergie, les transports, la santé, le cloud, etc.) à se protéger contre les cyberattaques et à les signaler aux autorités. Elle vise à améliorer la sécurité des réseaux et des systèmes d’information dans l’Union Européenne.
En France, c’est l’ANSSI qui porte ce rôle et les actions de régulation.
Objectif : renforcer et coordonner la cybersécurité en Europe.
NIS1 se concentrait sur 300 organisations dites OSE (Opérateurs de Service Essentiel) et la LPM sur les OIV (Opérateurs d’Importance Vitale).
NIS2 suit l’évolution de la menace cyber et vise plus de 10 000 PME, ETI, GE et collectivités territoriales, ainsi que les chaines d’approvisionnement.
Les entités qui ne respecteront pas ces règles pourront être sanctionnées.
NIS 2 : le périmètre en France
3 critères d’éligibilité des entités concernées par NIS 2 :
- le secteur d’activité,
- le type d’entité (code NAF) et
- la taille (>50 employés ou CA > 10 m€)
NIS 2 impose la mise en place de mesures de sécurité, proportionnellement aux risques pour le fonctionnement du pays d’ici à octobre 2024.
Les sanctions en cas de non-conformité peuvent aller jusqu’à 2% du CA mondial.
NIS 2 : les entités essentielles
Sont considérées comme entités essentielles les grandes organisations (plus de 250 employés ou un CA > 50m€) des secteurs suivants :
- Energie
- Transports
- Bancaire
- Infrastructures des marchés financiers
- Santé
- Eau potable et eaux usées
- Infrastructures numériques (Internet)
- Services en Technologies de l’Information de la Communication
- Administration publique
- Espace
NIS 2 : les entités importantes
Sont considérées comme entités importantes, les moyennes organisations (50-250 employés ou CA 10-50 m€) des secteurs des entités essentielles (Energie, Transports, Bancaire, Santé, Eau …), ainsi que les moyennes et grandes organisations (>50 employés ou CA > 10 m€) des autres secteurs suivants :
- Services postaux
- Gestion des déchets
- Chimie
- Production, transformation et distribution alimentaires
- industrie médicale, informatique, de machines-outils et de véhicules automobiles
- Fournisseurs numériques
- Recherche
NIS 2 : les obligations pour les entités
- Mise en place de mesures de sécurité techniques, opérationnelles et organisationnelles pour gérer les risques qui menacent la sécurité des réseaux et des SI et réduire les conséquences des incidents sur les utilisateurs
- Déclaration des incidents de sécurité majeurs à l’ANSSI
- Obligation d’audits de sécurité réguliers
NIS 2 : les 10 mesures de sécurité imposées
- Analyser les risques et auditer les SI (Politique de Sécurité des SI)
- Définir des procédures de gestion des incidents de sécurité
- Rédiger un Plan de Continuité des Activités (sauvegarde et PRA)
- Renforcer la sécurité de la chaine d’approvisionnement
- Sécuriser l’acquisition, le développement et de la maintenance des réseaux et SI
- Traiter les vulnérabilités applicatives ou logicielles
- Former à la cybersécurité et à l’hygiène numérique
- Mettre en œuvre une politique de sécurité des ressources humaines, de gestion des utilisateurs et de gestion des actifs
- Consolider le contrôle des accès par authentification multi facteurs
- Protéger les données par un chiffrement de bout en bout
Evénements, vidéos, ebook, … retrouvez les dernières publications d’adista
Comment se mettre en conformité par rapport à NIS2 ?
Echanger avec un Consultant Cybersécurité
