Introduction :
Les États membres de l’UE devront mettre en œuvre la directive NIS2 à partir de septembre 2024. Grâce à cette directive, les entreprises devront investir massivement dans leurs systèmes de cybersécurité. Dans ce blog, nous discuterons des implications concrètes de la directive et nous vous donnerons des conseils sur la meilleure façon d’aborder cette question en tant qu’entreprise.
L'émergence de la ligne directrice NIS2
Le risque de cyber-attaques et d’incidents a énormément augmenté ces dernières années, et des phénomènes tels que le phishing, les logiciels malveillants et les ransomwares constituent une menace majeure.
Les cyber-attaques peuvent entraîner des dommages considérables au niveau professionnel et personnel, car dans un monde où nous travaillons de plus en plus de manière numérique, il est essentiel de disposer d’une infrastructure numérique qui fonctionne.
La guerre en Ukraine a montré encore plus clairement que notre sensibilisation à la cybersécurité est bien trop faible. C’est pourquoi l’Europe a pris l’initiative de faire de l’Union européenne l’un des piliers de l’économie européenne.
Sécurité des réseaux et de l’information 2 (NIS2
), cette ligne directrice est un ensemble de règles relatives à la sécurité des réseaux et des systèmes d’information.
Le NIS2 sera mis en œuvre d’ici octobre 2024 dans environ plus de 16 000 entreprises en Belgique qui sont considérées comme fournissant des services essentiels.
Que prévoit la directive NIS2 ?
En 2016, l’UE a déjà adopté la
directive sur la sécurité des réseaux
et des
systèmes d’information
(directive NIS) a été introduite. Cette directive NIS1 a été la première à renforcer de manière significative la sécurité des personnes et des biens.rrence les exigences en matière de cybersécurité pour les services dits “essentiels”.essentielles entreprises”. DToutefois, cette liste était courte en 2016 et ne comprenait que des entreprises telles que les entreprises du secteur de l’eau, de l’énergie et des télécommunicationsn. Le NIS2 complète considérablement cette liste, ce qui permettra à un plus grand nombre d’entreprises d’obtenir le statut d'”entreprise essentielle obtenir. En outre, la disposition NIS2 introduit une série d’autres mesures strictes, notamment
- Avec l’élargissement du champ d’application de la nouvelle directive, les grandes et moyennes entreprises de certains secteurs seront tenues d’adopter des mesures de sécurité. Les États membres peuvent même prendre des mesures pour identifier les petites entreprises qui ne remplissent pas certaines conditions de taille (par exemple, pas plus de 10 millions d’euros de revenus annuels et moins de 50 employés) comme étant à haut risque.
- Les organes directeurs des entreprises seront soumis à un contrôle plus strict et pourront être tenus responsables en vertu du NIS2 en cas de problème.
- Des mesures de contrôle plus strictes seront accordées aux autorités nationales et la coopération entre les États membres sera renforcée afin d’améliorer la sécurité.
- Le NIS2 renforce les exigences en matière de cybersécurité pour les entreprises, avec une approche de la gestion des risques et des mesures clés de cybersécurité.
- Le NIS2 ne fait plus de distinction entre les différents types de services. En vertu de la nouvelle directive, les organisations sont classées en fonction de leur importance et sont divisées en catégories essentielles et importantes.
- Le NIS2 s’applique également aux sous-traitants et aux prestataires de services qui ont accès à l’infrastructure critique d’une entreprise. Elles doivent elles aussi se conformer à des obligations plus strictes en matière de cybersécurité si elles veulent s’associer à une entreprise essentielle.
- Les incidents doivent être signalés immédiatement par les entreprises et des sanctions plus sévères sont prévues pour les entreprises qui ne s’y conforment pas.
- Les entreprises doivent également s’attaquer aux risques de sécurité dans leurs chaînes d’approvisionnement et leurs relations avec les fournisseurs.
En outre, le système
NIS2
fournit une liste d’exigences minimales de sécurité de base que les entreprises doivent mettre en œuvre :
- Analyse des risques et politique de sécurité de l’information
- Sécurité de la chaîne d’approvisionnement
- Traitement des incidents
- Continuité des activités et gestion des crises
- L’utilisation de la cryptographie/du chiffrement
- Sécurité des réseaux et des systèmes d’information
- Politiques et procédures relatives aux mesures de gestion des risques liés à la cybersécurité
Il incombe aux autorités nationales de surveiller et de gérer ce problème.dsi les entreprises ne prennent pas les mesures nécessaires nemen.
Quel est l’impact de la nouvelle législation ?
À partir du moment où votre entreprise est qualifiée d'”essentielle”, vous devez vous conformer aux dispositions du NIS2. Si vous ne le faites pas, vous risquez une amende pouvant aller jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial total. En outre, les dirigeants d’entreprise peuvent être tenus personnellement responsables du non-respect du NIS2.
Le NIS2 attend des entreprises essentielles une “bonne cybersécurité”. Mais qu’est-ce qu’une bonne cybersécurité ? Il est évidemment important de disposer de la technologie nécessaire, mais sans les bonnes personnes qui savent comment l’appliquer correctement, même la technologie la plus équipée est inutile.
Le NIS2 applique le “principe de confiance zéro”, qui stipule qu’en tant qu’entreprise, il faut toujours commencer par tout vérifier et ne pas se contenter de faire confiance, “ne jamais faire confiance, toujours vérifier”.
Comment votre entreprise peut-elle se préparer au NIS2 ?
À partir du moment où les États membres doivent officiellement mettre en œuvre le NIS2, les régulateurs organiseront de nombreux contrôles et audits. Votre entreprise fera alors l’objet d’une surveillance stricte en matière de cybersécurité.
Comme pour les infractions au GDPR, les sanctions financières en cas de non-respect du NIS2 sont basées sur le chiffre d’affaires mondial de votre entreprise. Les coûts peuvent donc être énormes.
Une première étape importante consiste à sensibiliser les employés de votre entreprise au NIS2 et aux obligations légales afin d’éviter les amendes. Nos consultants peuvent former et réformer vos entreprises pour qu’elles se conforment aux règles dès leur entrée en vigueur. Nos consultants encouragent les entreprises à faire les bons investissements, qui peuvent être à petite échelle mais efficaces, comme les cours de formation que les employés peuvent suivre pour adopter le bon état d’esprit.
Conclusion
Il est essentiel de comprendre l’importance de la nouvelle directive NIS2 et de prendre les mesures nécessaires pour garantir la cybersécurité. A u souhaite obtenir de l’aide à ce sujet ? Contactez alors N’hésitez pas à contacter l’un de nos consultants pour u vous assister et de mener un audit de sécurité audit de sécurité.