Actu
UE : Nouvelle directive NIS2 Quels moyens pour accompagner ces acteurs sur de tels enjeux de sécurité nationale ?
novembre 2022 par Frédéric Renau, Consultant Manager Risques et conformités SSI chez I-TRACING
Après avoir été approuvée par le Parlement le 10 novembre dernier, la nouvelle directive sur la sécurité des réseaux et des systèmes d’information (NIS 2), a maintenant besoin d’un feu vert final des pays de l’UE au sein du Conseil, après quoi les États membres auront 21 mois pour la mettre en œuvre. Jusqu’à présent, seuls les acteurs de l’énergie, des transports, les banques et institutions financières, la santé, les réseaux d’eau et certaines infrastructures numériques étaient concernés.
NIS2 élargit le périmètre et y ajoute les administrations publiques, le secteur spatial, les fournisseurs de services numériques, les réseaux d’eaux usées et de gestion de déchets, les services postaux, l’alimentation ou encore les fabricants de produits chimiques et pharmaceutiques.
Dans ce contexte, Frédéric Renau, Consultant Manager Risques et conformités SSI chez I-TRACING, spécialiste des services de cybersécurité qui accompagne plus de 400 clients dans la maîtrise de leurs risques cyber, réagit :
Ainsi, après des premières phases d’audit et d’analyse des risques, les mesures techniques, opérationnelles et organisationnelles à mettre en œuvre sont très lourdes pour ces acteurs. Tandis que dans les grands groupes, ces « mises à niveaux » s’intègrent davantage dans leur feuille de route. PCA, PRA, Sécurisation des infrastructures réseaux, gestion des identités et des accès…sans compter la mise en place de contrôles réguliers pour s’assurer de la pérennité des pratiques de sécurité et le signalement des incidents de sécurité qui deviendra obligatoire.
Lorsque l’on connait les couts humains et technologiques que représentent de tels projets de sécurité au regard par exemple des moyens alloués par les pouvoirs publics aux hôpitaux, on peut se demander, au-delà de l’amende de 1,4% à 2% du CA annuel, quels moyens seront mis en place pour accompagner ces acteurs sur de tels enjeux de sécurité nationale ?
L’avancée des travaux sur NIS 2, dont le texte a été adopté en mai 2022, prévoit un calendrier de transposition du référentiel pour la fin de l’année 2023 en France, et une obligation de répondre à une conformité dans l’année 2024 pour les secteurs désignés. Ce qui laisse peu de temps pour amorcer les évaluations de conformité et mener les chantiers. »
En tant que 1er acteur français spécialiste des services de cybersécurité, I-Tracing accompagne ses clients dans la mise en conformité et l’obtention de la certification NIS 2. Cette nouvelle contrainte réglementaire impacte de façon non négligeable ces derniers, et ce, qu’ils s’agissent de grands groupes des secteurs historiquement concernés par NIS 1 : la banque, l’énergie et l’ensemble des secteurs désignés OSE (Opérateurs de Services Essentiels ayant pour obligation de se conformer au référentiel de 2016) ; ou de nouveaux acteurs du secteur public comme par exemple des sociétés d’intérêt collectif à l’échelle nationale ou locale, qui seront prochainement désignés par l’Etat « entités essentielles » ou « entités importantes » et devront appliquer de manière obligatoire les exigences de la nouvelle version NIS 2.
