.png)
Vous êtes arrivé à la deuxième partie de notre série de blogs en trois parties concernant la directive NIS2. La première partie traite du contexte et des raisons de la directive NIS2.
Comme mentionné dans la partie précédente, NIS2 apporte quelques grands changements :
Bien que la directive NIS2 soit principalement basée sur la directive NIS originale, certains changements importants seront apportés par la nouvelle directive. La directive NIS2 introduit une série d'exigences de sécurité renforcées. La possibilité de personnaliser le respect de ces exigences a été supprimée, car le NIS original permettait des vulnérabilités en raison de cette flexibilité excessive. La directive NIS2 garantit qu'il n'y a pas de place pour de telles vulnérabilités, car elle décrit clairement les règles que tout le monde doit suivre.
Le NIS2 énumère 13 thèmes principaux de sécurité de l'information que les organisations doivent prendre en compte et mettre en œuvre dans leurs propres plans de sécurité de l'information. Vous trouverez ici quelques sélections parmi les plus pertinentes. Vous trouverez le rapport NIS2 complet dans Cyberday, qui contient également des recommandations de mesures classées par ordre de priorité et correspondant à différentes exigences.
L'organisme doit disposer de procédures clairement définies pour gérer les risques liés à la sécurité de l'information, qui sont utilisées pour évaluer l'adéquation des mesures de sécurité de l'information mises en œuvre par l'organisme et pour identifier les domaines les plus importants à développer.
Lorsque des entités essentielles ou importantes ont connaissance d'un incident important, elles doivent rapidement émettre une alerte rapide dans les 24 heures. Cette alerte doit être suivie d'une notification d'incident, qui doit être soumise sans délai et dans les 72 heures suivant la prise de connaissance de l'incident. La notification d'incident doit inclure une évaluation actualisée de l'incident, y compris la gravité, l'impact et les indicateurs de compromission s'ils sont disponibles. Un rapport final doit être soumis dans un délai d'un mois après la notification de l'incident.
Les opérateurs essentiels et importants doivent s'occuper de la sensibilisation du personnel à la sécurité de l'information par le biais de conseils et de formations. Le processus doit couvrir des sujets importants pour le personnel, tels que l'utilisation sécurisée des appareils, les mises à jour logicielles, le travail à distance sécurisé et la gestion des identités et des accès.
La sécurité de la chaîne d'approvisionnement comprend l'examen des relations entre l'organisation et les fournisseurs du point de vue de la sécurité de l'information. Du point de vue de la fourniture de vos propres services, quels sont les partenaires essentiels ? Quels types d'exigences en matière de sécurité de l'information ont été fixés pour eux et quelles sont les preuves que ces exigences ont été respectées ?
Dans le NIS2, les organisations sont obligées d'investir plus clairement qu'auparavant dans ce type d'analyse de la chaîne d'approvisionnement et dans la transmission des exigences en matière de sécurité de l'information aux partenaires importants.
Pour garantir la sécurité des communications électroniques publiques, il est essentiel de promouvoir le cryptage de bout en bout et les concepts de sécurité centrés sur les données. Les fournisseurs peuvent être tenus de mettre en œuvre le chiffrement de bout en bout tout en tenant compte des intérêts en matière de sécurité, de la sécurité publique et des responsabilités en matière d'application de la loi. Le maintien d'un cryptage fort est essentiel pour protéger les données, la vie privée et la sécurité des communications.
En général, les organisations ont besoin d'un plan pour couvrir et contrôler tous les sujets susmentionnés. La NIS2 indique également que les organes de gestion des organisations doivent approuver, par exemple, les mesures de gestion des risques et superviser la mise en œuvre de la cybersécurité des organisations en général. Cela nécessite une planification et des outils plus systématiques pour la cybersécurité.
Chaque État membre doit nommer ou créer une ou plusieurs autorités compétentes qui seront chargées de gérer les incidents et les urgences importants en matière de cybersécurité (appelées "autorités de gestion des crises cybernétiques"). Il incombe aux États membres de veiller à ce que ces autorités disposent de ressources suffisantes pour s'acquitter effectivement et efficacement des tâches qui leur sont confiées.
Le NIS2 comprendra un plus grand nombre de secteurs (énumérés ci-dessous) que la directive NIS initiale. Les secteurs sont divisés en entités essentielles et importantes. La différence entre les deux est qu'une interruption de service au sein du groupe essentiel devrait avoir de graves conséquences pour l'économie et la sécurité d'un pays.
Contrairement au NIS original et à ses OES, le NIS2 utilisera une approche différente. Un "plafond de taille" est introduit, ce qui signifie que les entités des secteurs suivants, classées comme moyennes ou grandes par l'UE (plus de 50 employés et/ou un chiffre d'affaires annuel supérieur à 10 millions d'euros), seront soumises à la NIS2. Toutefois, les entités définies comme critiques dans la directive (UE) 2022/2557 seront assujetties malgré leur taille ou leur chiffre d'affaires. Les entités critiques comprennent les entités essentielles indiquées ci-dessous, ainsi que la production, la transformation et la distribution de denrées alimentaires.
La directive s'applique également aux entités qui répondent aux critères suivants :
Les États membres ont la possibilité d'inclure dans le champ d'application de la présente directive les entités de l'administration publique au niveau local et les établissements d'enseignement, en particulier ceux qui mènent des recherches critiques.
En ce qui concerne la surveillance des entités essentielles et importantes dans le cadre de la directive NIS2, il existe quelques différences majeures dans l'approche.
Pour les entités essentielles, les régulateurs et les autorités doivent s'assurer que les mesures mises en place sont suffisamment solides pour atténuer efficacement les risques et garantir la sécurité des services essentiels. L'objectif est de mettre en place une supervision résiliente qui agisse comme une barrière contre toute perturbation ou défaillance potentielle.
Pour les entités importantes, l'accent est mis sur le suivi et le traitement des incidents sur la base de preuves ou d'informations indiquant une non-conformité. Les régulateurs doivent garder un œil sur les opérations des entités importantes et prendre les mesures appropriées en cas d'incident. L'accent est mis sur la détection rapide de tout problème afin de maintenir le bon fonctionnement des services importants.
Si le niveau de surveillance peut varier, l'objectif ultime est de protéger les entités essentielles et importantes et de maintenir la sécurité globale de l'infrastructure numérique. Les exigences spécifiques et les mesures de surveillance pour chaque catégorie sont conçues pour correspondre à la criticité et à l'impact potentiel de leurs services, garantissant que des mesures de sécurité appropriées sont en place et que toute non-conformité est traitée de manière adéquate.
Si un opérateur ne respecte pas les exigences, une amende administrative pouvant aller jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial total peut être imposée. Dans les cas les plus graves, les amendes peuvent atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel total.
Il s'agit de la deuxième partie de notre série de blogs en trois parties concernant la directive NIS2. Lire la dernière partie NIS2 : se conformer au Cyberday
Vous avez d'autres questions, vous avez besoin d'un autre article d'aide ou vous souhaitez nous faire part de vos commentaires ? N'hésitez pas à contacter notre équipe viacyberday ou la boîte de dialogue en bas à droite.
