Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

La directive NIS2 est adoptée. Comment cela se traduit-il pour les entreprises ?

janvier 2023 par Check Point

L’UE vient d’adopter la directive NIS2, qui entre dans le cadre de la stratégie de cybersécurité « Shaping Europe’s Digital Future » de l’UE et constitue une extension directe de la directive NIS de 2016, la première loi sur la cybersécurité à l’échelle européenne.

Cette nouvelle directive intervient alors que le paysage des menaces évolue rapidement et affecte de plus en plus les réseaux des entreprises. Par ailleurs, il est apparu que la première directive NIS avait été appliquée différemment selon les États membres de l’UE. Par conséquent, une approche plus globale et homogène de la cyberprotection des secteurs et des chaînes d’approvisionnement touchant aux infrastructures essentielles est souhaitée par l’UE, car une cyberattaque de grande ampleur risquerait d’avoir un impact énorme sur l’économie de chaque État membre, mais aussi sur le reste de l’Europe. Par exemple, en cas de mise hors service de la société nationale d’énergie d’un pays et selon la durée de cette coupure, les prix de l’électricité vont avoir tendance à augmenter dans toute l’Europe du fait que l’électricité est négociée sur une place boursière européenne.

En quoi est-ce important pour une entreprise ?

Contrairement à la directive RGPD, qui protège les données personnelles des citoyens, la NIS2 vise à protéger les données économiques : celles qui affectent l’économie des entreprises et des pays membres.

En vertu de cette nouvelle législation, les États membres doivent définir, entre autres, une stratégie nationale de cybersécurité incluant l’adoption d’une loi nationale sur les exigences en matière de gestion des risques et de rapports pour les entreprises concernées par la directive NIS2, ou encore la création d’un point de contact national unique pour gérer cette directive.

Qui cela concerne-t-il ?

Outre les secteurs qui figuraient dans la directive NIS, la nouvelle NIS2 s’étend désormais à de nouveaux secteurs publics et privés, comme celui de l’alimentation, de fret et d’expédition, aux télécoms et aux fournisseurs de données, aux plateformes de réseaux sociaux et aux fournisseurs de centres de données, mais aussi aux entreprises impliquées dans la gestion des déchets et des eaux usées, ainsi qu’aux activités de production jouant un rôle important dans l’économie du pays. Les entreprises relevant de la directive sont divisées en deux catégories : les entités significatives (par exemple, les compagnies de télécommunications, les services publics et les banques) et les entités importantes (par exemple, les entreprises alimentaires et les sociétés de fret). Toutefois, les entreprises de moins de 250 employés ou dont le chiffre d’affaires annuel est inférieur à 50 millions d’euros en sont exemptées.

Cependant, compte tenu du concept de responsabilité de la chaîne d’approvisionnement, on peut supposer que les petites entreprises, fournisseurs des secteurs couverts par la directive doivent également s’y conformer.

La directive couvre également les administrations publiques, mais il reste à déterminer si cela inclut les municipalités par exemple.

Quelles sont les conséquences pour les entreprises et leurs directions ?

La NIS2 impose de nouvelles exigences aux entreprises et aux organisations concernées. Il s’agit notamment des critères relatifs à l’expertise et à la responsabilité de la direction, à la gestion efficace des risques, y compris l’analyse des risques et la réponse aux incidents, ainsi qu’au signalement et au traitement des cyber incidents.

C’est donc la direction de l’entreprise qui est responsable de la conformité à la directive NIS2 et qui peut être tenue pour responsable en cas de non-conformité. L’entreprise ou l’organisation elle-même doit se conformer à plusieurs exigences en matière de cybersécurité, notamment la mise en œuvre de mesures de sécurité et de normes internationales telles que la norme ISO27001 ou le cadre de cybersécurité NIST défini et publié par le National Institute of Standard and Technology aux Etats-Unis.

Une entreprise qui ne respecte pas la directive NIS2 peut être soumise à une amende allant jusqu’à 10 millions d’euros ou 2 % de son chiffre d’affaires annuel total mondial.

Il est important de souligner que, comme pour la directive RGPD, il n’y aura pas de label NIS2 ou de feuille de route à suivre pour les entreprises. C’est à l’entreprise elle-même de mettre en œuvre les mesures nécessaires pour que la protection de ses données soit conforme. Les fournisseurs de cybersécurité comme Check Point peuvent contribuer à l’élaboration de mesures, mais c’est à l’entreprise elle-même de mettre en place les procédures de reporting nécessaires.

Quand passer à la norme NIS2 ?

À la fin du mois de décembre 2022, la directive NIS2 a été adoptée et rendue officielle au sein de toute l’UE. A compter de cette date, les États membres ont 21 mois pour transposer la directive en droit national. Mais il est conseillé aux entreprises de ne pas attendre cette date pour commencer à mettre en œuvre les nouvelles mesures, car 18 mois après l’adoption, elles sont déjà tenues de s’y conformer.

Bien que cela puisse sembler long, nous savons par expérience que pour de nombreuses entreprises, la mise en œuvre de telles mesures, procédures, etc. peut prendre beaucoup de temps. Il est donc important que chaque entreprise s’y attelle dès aujourd’hui.

Quelques conseils pour commencer

De nombreuses entreprises ont déjà adopté certaines mesures car elles ont dû se conformer aux exigences initiales de la NIS. Mais d’autres doivent s’adapter à une toute nouvelle réalité. La tâche peut sembler colossale et ardue, et pour certains, elle peut même sembler impossible. C’est pourquoi Check Point a établi les conseils suivants pour aider à se préparer à NIS2.

Comme mentionné précédemment, la directive NIS2 ne fournit pas de feuille de route ni d’ensemble minimum d’exigences en matière de technologie de protection. Elle décrit une « protection appropriée », ouverte à de nombreuses interprétations. On peut toutefois supposer que les entreprises ont à minima besoin d’un pare-feu et d’une technologie de prévention des intrusions dans leur réseau, et qu’elles souhaitent également protéger les points de terminaison et mettre en place une authentification multifactorielle, un chiffrement des données et une limitation des accès.

Cependant, il est important de mentionner que tout ne passe pas par la technologie. Le processus et la technologie ont la même importance. Cela signifie qu’une entreprise doit avoir une vue d’ensemble et un plan, et ne pas simplement chercher une solution rapide.

Cela étant dit, certaines mesures initiales peuvent être prises.

Dans un premier temps, il est important de déterminer si une entreprise est concernée par la nouvelle directive. Si c’est le cas, voici cinq conseils pour savoir par où commencer :

S’assurer que les dirigeants de l’entreprise accordent une priorité absolue à la cybersécurité et qu’ils sont conscients de leurs responsabilités en matière de sécurité. Commencez par analyser les besoins de votre entreprise et créez une feuille de route avec des objectifs et des délais clairs pour la mise en œuvre.
Identifier et hiérarchiser les actifs, notamment les informations, les processus et les systèmes.
Mettre en place un cadre sur lequel construire la sécurité de l’entreprise. Il peut s’agir d’ISO2001 ou de NIST. Il est également important de mettre en place une gestion des risques des actifs et des opérations.
Automatiser autant de processus et de routines que possible. Dans les années à venir, par exemple, la sécurité informatique devrait toujours faire partie des nouveaux systèmes et du déploiement du cloud.
Consolider les fonctions et solutions de sécurité. Cela facilite et sécurise les opérations et permet de réduire les frais de personnel, par exemple.
Mettre en place un processus de reporting conforme aux exigences de la NIS2, et s’assurer qu’il peut être utilisé activement pour atténuer les attaques et les menaces.

Sans oublier : la confiance est un choix, la NIS2 est une obligation.


Voir les articles précédents

    

Voir les articles suivants