Dans notre première partie
Dans notre premier article disponible ici, nous avons présenté la directive NIS2, les entreprises soumises à cette nouvelles règlementation et défini les Entreprises Essentielles (EE) et les Entreprises Importantes (EI).
Dans ce second et dernier article traitant de NIS2, nous allons décrire les exigences de cette nouvelle directive.
NIS 2 : les principaux changements
Évaluation et atténuation des risques : Les organisations doivent réaliser des évaluations approfondies des risques et mettre en œuvre des mesures de sécurité appropriées. Cela inclut des évaluations régulières des vulnérabilités et la planification de la réponse aux incidents.
Préparation à la réponse aux incidents : Les organisations doivent être prêtes à réagir rapidement aux incidents. Disposer d’un plan de réponse aux incidents et de personnel désigné est essentiel.
Collaboration avec les autorités : Les organisations doivent collaborer avec les autorités nationales et partager les informations pertinentes. La déclaration rapide des incidents est essentielle.
Diligence raisonnable de la chaîne d’approvisionnement : Les organisations doivent évaluer les pratiques de cybersécurité de leurs fournisseurs et garantir la sécurité de l’ensemble de la chaîne d’approvisionnement.
Ces exigences sont déclinées en 10 points listés dans la directive NIS 2 :
- Les politiques relatives à l’analyse des risques et à la sécurité des systèmes d’information
2. La gestion des incidents (avec obligation de notification)
3. La continuité des activités, par exemple la gestion des sauvegardes et la reprise des activités, et la gestion des crises
4. La sécurité de la chaîne d’approvisionnement (prestataires et fournisseurs)
5. La sécurité de l’acquisition, du développement et de la maintenance des réseaux et des systèmes d’information y compris le traitement et la divulgation des vulnérabilités
6. Des procédures pour évaluer l’efficacité des mesures de gestion des risques en matière de cybersécurité (audit)
7. Les pratiques de base en matière de cyberhygiène et la formation à la cybersécurité
8. Les politiques et procédures liées à la cryptographie et, le cas échéant, au chiffrement
9. La sécurité des ressources humaines, des politiques de contrôle d’accès et la gestion des actifs
10. Sécurité des communications (authentification à plusieurs facteurs ou authentification continue)
La proportionnalité
La directive NIS2 intègre une notion de proportionnalité avec deux types d’entités :
– Les Entités Essentielles (EE)
– Les Entités Importantes (EI)
Cette proportionnalité s’applique sur l’ensemble de la directive, notamment sur :
Les mesures de sécurité. Les niveaux d’exigences seront différents entre les EE et les EI, afin de prendre en considération les moyens et les enjeux des PME face aux grandes entreprises.
La régulation. Les contrôles seront réalisés par l’ANSSI pour les EE alors que les contrôles seront effectués lors de l’identification d’une non-conformité pour les EI.
Les sanctions. Elles seront comparables au RGPD, pouvant aller jusqu’à 2% du chiffre d’affaires pour les EE et 1,4% pour les EI.
Les délais à respecter pour les entreprises
Des délais sont imposés par la directive européenne et d’autres délais resteront à la discrétion de l’ANSSI (en cours de définition au moment de la rédaction de cet article) :
Au sein de la directive, le délai de mise à jour des informations de contact en cas d’évolution de ces dernières est de 15 jours, le délai de notification initiale d’un incident est au maximum de 24 heures. En opposition, les éléments qui seront fixés dans la transposition de l’ANSSI sont les délais d’implémentation de mesures de sécurité et de notification auprès de l’ANSSI.
Le planning de la transposition de la directive pour la France
La directive européenne NIS2 est en cours de transposition par l’ANSSI en droit français au travers de textes législatifs et réglementaires. L’échéance est fixée au 17 octobre 2024. Nous n’avons pas encore de visibilité sur les délais de mise en conformité pour les entités soumises à NIS2.
THEIA-IT possède des compétences fortes pour vous accompagner dans la sécurisation de votre entreprise. N’hésitez pas à nous contacter.
Offert : Téléchargez notre livre blanc !
Ce livre blanc décrit les méthodes aujourd’hui dipsonibles pour sécuriser votre messagerie en limitant le risque d’usurpation d’identité.
