Déballage de NIS2: comment cela affecte-t-il votre entreprise ?

La Commission européenne a introduit une directive révisée sur les réseaux et la sécurité de l'information (NIS2) qui entrera en vigueur le 17, 2024 octobre. Elle s'appuie sur le cadre réglementaire original de la NIS1 en matière de cybersécurité et concerne à la fois les entreprises du secteur public et du secteur privé dans le domaine des infrastructures et/ou des services critiques (KRITIS).

Dans cet article, les experts de Nitro présentent une vue d'ensemble de NIS2 et des informations utiles sur les exigences de conformité à ce règlement en cours d'élaboration. Cet article ne constitue pas un avis juridique.

Pour bien comprendre le NIS2, il est important de connaître les conditions du NIS1. La directive NIS1 - également connue sous le nom de directive NIS - était "le premier instrument horizontal du marché intérieur visant à améliorer la résilience des réseaux et des systèmes d'information dans l'Union [européenne] face aux risques de cybersécurité", selon la Commission européenne. Avec le développement de la numérisation, la Commission a identifié certaines lacunes du NIS1 et a ensuite développé le NIS2.

NIS2 s'applique aux entreprises KRITIS qui ont plus de 50 employés ou un chiffre d'affaires annuel de €10 millions. Étant donné que la NIS2 élargit le champ des entités incluses dans le règlement, d'autres organisations peuvent être soumises aux nouvelles règles même si elles ne répondent pas aux critères de taille ou de revenu. Les entités de la chaîne d'approvisionnement d'une organisation couverte peuvent également relever du champ d'application du NIS2. En outre, les États membres de l'UE peuvent publier leurs propres extensions de la décision.

Avec l'introduction du NIS2, les organisations sont tenues de mettre en œuvre une série de mesures de sécurité et de procédures d'établissement de rapports - y compris la gestion des risques, la sécurité de la chaîne d'approvisionnement et la réaction appropriée en cas d'incident. Ses objectifs sont de renforcer la résilience et les capacités de réaction aux incidents des secteurs public et privé, des autorités compétentes et de l'UE.

Le NIS2 aura un impact sur environ 100,000 organisations dans l'ensemble de l'UE, en plus de celles qui relèvent déjà du NIS1. L'étendue des secteurs est passée de sept à 18, et comprend :

• Transport 
• Banque 
• Marchés financiers 
• Eau potable 
• Infrastructure numérique 
• Énergie 
• Santé 
• Services postaux et de messagerie 
• Fabrication de produits critiques 
• Eaux usées et gestion des déchets 
• Administration publique 
• L'espace 
• Recherche 
• Services numériques 
• Production, transformation et distribution de denrées alimentaires 
• Télécommunication 
• Fabrication, production et distribution de produits chimiques 
• Fournisseurs de services numériques 

Vous trouverez ci-dessous les nouvelles exigences et obligations pour les organisations qui relèvent du champ d'application du NIS2.

La directive présente une liste minimale de mesures de sécurité que les entités doivent prendre pour minimiser le risque cybernétique, y compris, mais sans s'y limiter, la gestion des incidents, la sécurité de la chaîne d'approvisionnement, le chiffrement, la continuité des activités et les politiques d'analyse des risques. La NIS2 exige spécifiquement des organisations qu'elles disposent de forfaits qui entrent en vigueur pendant et après un incident, tels que des mesures de sauvegarde, la garantie de l'accès à leurs systèmes informatiques, la récupération des données et des systèmes, la procédure d'une équipe d'intervention en cas de crise, etc.

Le NIS2 renforce les obligations de notification des entités en cas d'incident de sécurité. Les organisations peuvent avoir plusieurs organismes auxquels elles doivent signaler un incident, y compris leurs clients. Certains incidents peuvent entrer dans une catégorie de violations qui nécessitent le respect de délais de notification de 24heures.

La directive exige des organisations qu'elles s'assurent que leurs fournisseurs et partenaires, tout au long de leur chaîne d'approvisionnement, mènent une gestion des risques et adhèrent à certaines politiques. Ce changement est susceptible d'affecter de nombreuses entités qui n'entrent pas directement dans le champ d'application du NIS2 mais qui font des affaires en tant que membres de la chaîne d'approvisionnement de ces entreprises.

La NIS2 vise à responsabiliser les dirigeants d'entreprise quant à leur rôle dans la cybersécurité et prévoit des sanctions en cas de non-respect. La direction doit être formée aux mesures de sécurité et peut être tenue pour responsable - voire démise de ses fonctions - en cas de violation.

La première étape pour toute organisation qui soupçonne qu'elle peut tomber dans le champ d'application de la NIS2est de déterminer si elle est concernée.

Le NIS2 modifie la façon dont les organisations sont classées en entités "essentielles" et "importantes". Chaque catégorie fait l'objet d'une supervision et d'une application différentes.

Vous devrez alors évaluer vos mesures et politiques de sécurité existantes afin d'obtenir une compréhension de base de la manière dont vous pouvez vous conformer à la NIS2. Le cabinet d'études PwC recommande d' utiliser un cadre de contrôle de la cybersécurité qui met en correspondance "les contrôles spécifiques en vigueur dans votre entreprise avec chaque clause de la NIS2 afin de vous informer des domaines dans lesquels l'organisation ne peut pas satisfaire à ses obligations NIS2 à l'heure actuelle".

Dans le cadre de votre évaluation, vous devrez déterminer si votre État membre de l'UE est obligé de mettre en œuvre ses propres exigences en matière de conformité. Par exemple, l 'Allemagne s'est engagée à mettre en œuvre le NIS2UmsuCG le 1, 2024 octobre.

Vous devez ensuite tester vos outils et processus tels que la réponse aux incidents, la gestion de crise, la continuité des activités et le basculement, ainsi que les procédures d'urgence. En fin de compte, l'idéal est de tester tout processus lié à votre capacité à vous conformer à la NIS2.

Il est également important d'examiner la culture et l'approche de votre organisation en matière de cybersécurité afin de s'assurer que les membres de l'équipe sont alignés sur la conformité et que la direction fait preuve de la diligence nécessaire.

Si elles ne respectent pas certaines exigences, les entités essentielles peuvent se voir infliger une amende maximale d'au moins10,000,000 euros ou d'au moins 2% du chiffre d'affaires annuel mondial total réalisé au cours de l'exercice précédent. Les entités importantes peuvent se voir infliger une amende maximale d'au moins7,000,000 euros ou d'au moins 1,4% du chiffre d'affaires annuel mondial total de l'exercice précédent.

Nitro est un fournisseur PDF et eSign solution avec une empreinte mondiale - spécialisé dans le soutien de document sécurité et conformité pour les organisations basées dans l'UE. Nous offrons une solution avancée document qui assure la sécurité et l'intégrité des documents numériques pour votre organisation et vos partenaires tout au long de votre chaîne d'approvisionnement.

Avec Nitro, les entreprises peuvent mettre en œuvre des contrôles d'accès rigoureux, le chiffrement, la correction des données et la signature numérique - autant d'éléments essentiels pour maintenir la conformité avec les obligations de gestion des risques et de signalement des incidents renforcées de la NIS2. Ces caractéristiques permettent d'empêcher les accès non autorisés et de garantir la protection des informations sensibles. Pour en savoir plus sur la conformité de Nitro assistance NIS2, consultez ce blog.

Contactez l'un de nos experts PDF et eSign pour découvrir comment nous pouvons vous aider ou explorer un essai gratuit de Nitro.