NIS2 a comme objectif d’établir un cadre robuste en matière de cybersécurité à plus de 150 000 organisations stratégiques européennes de toutes tailles et nature : TPE, PME, grands Groupes, Institutions, collectivités territoriales, agences, ministères…
Devant l’importance des enjeux associés à l’arrivée de NIS2 et à une nécessaire préparation en amont de son entrée en application, Wimi (une suite collaborative française et souveraine) a décidé d’éditer un livre blanc de 20 pages pour éclairer les DSI et autres responsables sur sa définition, son champ d’implication et son impact pour votre organisation.
Commençons par rappeler que la Directive sur la Sécurité des Réseaux et des Systèmes d’Information, connue sous l’acronyme NIS 2, représente une évolution significative de la législation européenne initiale en matière de cybersécurité — la NIS 1 — introduite
en 2016.
Gestion des risques
NIS 2 vise ainsi à renforcer la résilience des infrastructures critiques et à augmenter le niveau de sécurité à l’échelle de l’Union. Elle répond à des lacunes identifiées dans la mise en œuvre de la directive précédente, notamment, l’application inégale entre les États membres et le manque de clarté dans plusieurs de ses dispositions.NIS2 élargit donc le champ d’application pour inclure un plus grand nombre d’entités (35), tout en intensifiant les exigences de conformité. Toutes les entreprises relevant de ces catégories doivent évaluer et renforcer leurs mesures de cybersécurité pour se conformer aux exigences de la NIS 2.
Elles doivent notamment :
- Mettre en place des procédures robustes de gestion des risques et d’incident.
- Assurer une notification rapide et précise des incidents de sécurité selon les protocoles définis par la directive
- Évaluation des risques : Chaque entité doit effectuer une évaluation complète des risques de sécurité informatique auxquels elle est exposée. Cela comprend l’identification des vulnérabilités dans leurs systèmes et infrastructures et l’évaluation de leur potentiel d’impact sur les opérations.
- Sécurisation de la chaîne d’approvisionnement contractuelle : chaque entité doit garantir que la sécurité de l’information est maintenue sur toute la chaîne d’approvisionnement. Tous les partenaires, sous-traitants et fournisseurs doivent aussi respecter les normes de sécurité fixées.
- Mise en place de mesures de sécurité : Sur la base de cette évaluation, les entreprises doivent développer ou améliorer des mesures de sécurité pour prévenir, détecter et répondre efficacement aux incidents de cybersécurité. Cela peut inclure la mise à jour des logiciels, le renforcement des protocoles d’accès et l’amélioration des systèmes de surveillance et de réponse aux incidents.
Sanctions et amendes
Parmi les mesures incontournables, nous retrouvons les PSSI (Politiques d’analyse des risques et de Sécurité des Systèmes d’Information), les PCA, les PRA, les solutions d’authentification à plusieurs facteurs ou encore l’adoption d’outils de communication sécurisés.La directive NIS 2 a mis en place un cadre rigoureux de sanctions pour assurer l’application efficace de ses mesures de sécurité. Ce cadre vise à encourager une conformité stricte et à décourager toute négligence éventuelle.
Voici les principales sanctions que les entités pourraient encourir en cas de non-respect des normes établies :
Amendes financières : Les entités qui ne respectent pas les exigences peuvent se voir infliger des amendes allant jusqu’à 10 millions d’euros ou 2 % du total de leur chiffre d’affaires annuel mondial pour les entités essentielles. Pour les entités importantes, les amendes peuvent atteindre jusqu’à 7 millions d’euros ou 1,4 % du chiffre d’affaires global, selon le montant le plus élevé.
Sanctions administratives : Outre les amendes, les autorités peuvent imposer des avertissements publics, des injonctions de mise en conformité, et des interdictions ou restrictions temporaires d’opération.
Mesures correctives obligatoires : Les entités peuvent être obligées de prendre des mesures spécifiques pour rectifier les manquements constatés, ce qui peut inclure des audits de sécurité supplémentaires, des formations accrues pour le personnel et la révision des politiques de sécurité existantes.