Renforcer la cybersécurité et la résilience à l'échelle de l'UE
La Directive sur la sécurité des réseaux et de l'information (NIS2) vise à renforcer les capacités de cybersécurité des organisations opérant en Europe. La directive définit trois principaux piliers qui aideront les organisations et les États membres à améliorer la gestion des risques de cybersécurité, à améliorer le signalement des incidents et à faciliter la communication transfrontalière sur les cybermenaces et les mesures à prendre.
La Cour des comptes européenne a publié un brief en 2019 qui a abordé 10 défis auxquels l'UE est confrontée lors de la création d'une politique de cybersécurité pour l'Europe. L'un des défis concernait les lacunes de la législation de l'UE et sa transposition inégale. Le NIS 2 comble plus efficacement certaines des lacunes du NIS 1 en publiant une version plus prescriptive de la directive initiale.
NIS 2 améliore la directive NIS précédente en relevant la barre en matière de protection des infrastructures critiques dans les pays de l'UE, en élargissant le nombre de secteurs concernés et en fixant des amendes en cas de non-conformité.
Les trois piliers de la directive NIS 2
Gestion des risques liés à la cybersécurité
Les organisations sont tenues de mettre en œuvre des mesures complètes de gestion des risques. Cela inclut la réalisation d'évaluations régulières des risques, la mise en œuvre de politiques de sécurité appropriées et la garantie que des mesures techniques et organisationnelles sont en place pour gérer et atténuer les menaces potentielles à la cybersécurité. L'objectif est de créer une approche proactive de la cybersécurité, dans laquelle les risques sont identifiés et traités avant qu'ils ne causent des dommages importants.
Signalement des incidents
Le signalement rapide et précis des incidents de cybersécurité est crucial dans le cadre du NIS 2. Les entités doivent signaler rapidement les incidents importants aux autorités compétentes, en veillant à ce que les réponses puissent être coordonnées efficacement au niveau national et au niveau de l'UE. Ce pilier met l'accent sur la transparence et la responsabilité, en aidant à atténuer l'impact des cyberincidents et en favorisant une culture de vigilance et de préparation.
Partage d'informations
La directive encourage un meilleur partage d'informations entre les secteurs public et privé, ainsi qu'entre les différentes organisations du même secteur. En partageant les informations sur les menaces, les meilleures pratiques et les leçons tirées des incidents passés, les organisations peuvent mettre en place une défense collective contre les cybermenaces. Cette approche collaborative vise à améliorer la résilience globale et à créer une communauté de cybersécurité mieux informée et connectée.
Le pouvoir d'une directive dans l'UE
Il existe plusieurs types d'actes législatifs dans l'UE, et les distinctions sont importantes pour comprendre comment ils sont appliqués et mis en oeuvre.
NIS 2 est une directive européenne adoptée par le Parlement européen et le Conseil en novembre 2022 et s'applique aux organisations opérant en Europe.
Au sein de l'UE, une « directive » est un acte législatif qui « fixe un objectif que les pays de l'UE doivent atteindre ». Cela se fait par le biais du processus de transposition, qui est un « processus d'intégration des directives de l'UE dans les lois nationales des États membres de l'UE ».
Contrairement à un règlement, une directive n'est pas directement applicable dans tous les États membres. Elle impose plutôt à chaque État membre de transposer les mesures de la directive dans son droit national dans un délai donné. Pour le NIS 2, la date limite de transposition de la directive est le 17 octobre 2024.
Le processus de transposition est surveillé par la Commission européenne. La Commission confirmera que chaque État membre a respecté le délai requis pour transposer la nouvelle directive en droit national et que le texte de la nouvelle législation nationale répond aux objectifs de la directive.
Si un État membre ne respecte pas le délai de transposition, la Commission pourrait lui infliger une amende ou une astreinte.
Alors que les gouvernements de toute l'Europe élaborent une nouvelle législation, les entreprises opérant en Europe dans des secteurs relevant des catégories « essentielles » ou « importantes » de la directive NIS 2 se préparent à répondre aux exigences de conformité basées sur le texte de la directive.
La conformité réglementaire n'est que la première étape de la résilience opérationnelle numérique
C-Risk peut vous aider à communiquer efficacement l'impact financier et opérationnel des cyberrisques, en garantissant une allocation stratégique des ressources qui correspond à vos objectifs commerciaux.
NIS1 contre NIS 2 : qu'est-ce qui a changé ?
- Champ d'application étendu
- Nouvelles catégories de secteurs
- Les États membres peuvent identifier une entité essentielle indépendamment de sa taille ou de son secteur
- Introduction de la proportionnalité
- Calendrier de signalement des incidents spécifié
- Amendes administratives définies en cas de non-conformité
Nouveaux secteurs, entités et exceptions
En raison de l'élargissement du champ d'application avec de nouveaux secteurs, un seuil de taille a été introduit pour définir les entités essentielles et les entités importantes. Cela signifie que toutes les moyennes et grandes entreprises des secteurs identifiés sont concernées. La directive prévoit également que les États membres identifient les petites entités présentant un profil de risque élevé à couvrir conformément aux termes de la directive.
Catégories d'entités visées par le NIS 2
En général, une organisation est qualifiée de entité essentielle s'il appartient à l'un des secteurs déterminés (voir l'annexe I de la directive (UE) 2022/2555) et compte au moins 250 employés, un chiffre d'affaires d'au moins 50 millions d'euros et/ou un total de bilan d'au moins 43 millions d'euros.
Les exceptions à l'exigence de taille pour les entités sont les services de confiance qualifiés, le DNS, les TLD, l'administration publique ou ceux considérés comme « essentiels » par l'État membre qui a transposé la directive dans sa législation.
Entités importantes sont ceux définis à l'annexe II de la directive (UE) 2022/2555. Ils peuvent inclure à la fois des grandes et des moyennes entreprises. Si une entreprise compte entre 50 et 249 employés et réalise un chiffre d'affaires supérieur à 10 millions d'euros et inférieur à 50 millions d'euros, elle est considérée comme « importante ». Les petites et microentreprises sont généralement considérées comme hors du champ d'application, à moins qu'un État membre n'en ait reconnu l'importance au niveau national ou régional.
Exigences relatives au signalement des incidents
Les opérateurs de services essentiels doivent signaler les incidents à une autorité compétente. Dans le cadre du NIS1, les entités étaient tenues de notifier sans retard injustifié les incidents ayant un impact significatif sur la continuité des services essentiels. NIS 2 a défini un calendrier strict pour le signalement des « incidents importants » aux autorités :
- 24 heures pour signaler l'incident une fois qu'il a été identifié
- 72 heures pour soumettre une analyse aux autorités
- Un mois après la notification de l'incident pour le rapport final
Amendes administratives et sanctions en cas de non-conformité
Les amendes administratives sont définies en cas d'infraction. Les États membres peuvent imposer des sanctions périodiques pour obliger les entités à mettre fin à l'infraction. Et les personnes physiques peuvent également être tenues responsables en cas de non-conformité.
Préparez-vous à la conformité à la norme NIS 2
Le NIS 2 décrit les mesures à prendre pour gérer les cyberrisques et les exigences relatives à la définition et au signalement des incidents importants.
· Disposez-vous d'une politique de gestion des risques de cybersécurité ?
· Avez-vous identifié vos actifs numériques critiques ?
· Pourriez-vous rapidement signaler l'impact d'un événement cyber important ?
· Comment documentez-vous et communiquez-vous sur les cyberrisques ?
· Avez-vous identifié les risques liés aux tiers ?
Une stratégie de gestion des cyberrisques axée sur les données peut aider à répondre efficacement à ces questions.
L'une des premières étapes qu'une organisation peut prendre pour se préparer au NIS2 consiste à effectuer un audit de son programme de cybersécurité afin d'identifier les lacunes dans lesquelles l'identification, l'analyse et la production de rapports peuvent être améliorées. Vous pouvez ensuite élaborer un plan pour combler ces lacunes afin que, lorsque le NIS2 sera transposé, vous puissiez vous conformer pleinement aux exigences du NIS2.
En utilisant des données quantitatives pour évaluer les risques de cybersécurité, une organisation peut répondre aux exigences de conformité, mais également mieux hiérarchiser les contrôles de sécurité qui correspondent aux objectifs commerciaux.
C-Risk peut vous aider à répondre aux nouvelles exigences de conformité introduites dans le cadre du NIS 2. Pour plus d'informations planifiez un appel de 30 minutes avec l'un de nos experts en cybersécurité et en gestion des risques pour discuter de vos défis.
Nous avons conçu des solutions évolutives pour quantifier les risques cyber en termes financiers afin que les organisations améliorent leur gouvernance et leur résilience grâce à des décisions éclairées.