Comment se préparer pour NIS2 ?
NIS2 vise à renforcer la cybersécurité des organisations critiques en Europe. Appliquez-la dès janvier 2025 pour éviter des amendes pouvant atteindre 2% de votre CA mondial. Découvrez dans cet article ce qu’est NIS 2, qui est concerné et comment se préparer en capitalisant sur l’existant.
NIS2, définition et statut
Qu’est-ce que NIS2 ?
NIS2 vise à évaluer et mettre en place de façon proactive des mesures sécuritaires, mais aussi à réagir de façon plus efficace, et coordonnée en cas d’incident de cybersécurité avéré.
L’objectif clairement annoncé est de mitiger le risque lié aux cyberattaques, et améliorer la résilience associée.
NIS2 est une directive Européenne qui doit être transposée au niveau national de chaque pays membre. Certains pays s’y conformeront de façon minimale, alors que d’autres mettront en place des mesures plus complètes.
Si l’on compare à NIS1, la version 2 étend les secteurs d’activités des entreprises concernées (Santé, Energie, Transport..), implique la responsabilité du directoire avec des pénalités plus strictes, et introduit des délais sur l’émission de rapports. Elle impose également une coopération accrue entre les états membres.
Qui est concerné par NIS2?
Il existe 18 secteurs identifiés par la directive NIS2, dont les secteurs de l’énergie, des transports, de la santé, les infrastructures digitales, l’ICT, et les administrations publiques notamment.
Toutes les organisations de plus de 50 employés avec un revenu supérieur à 10M€ sont concernées (sauf exceptions).
Les organisations sont classées en deux catégories : entités essentielles ou entités importantes en fonction de la criticité du secteur, la taille de l’organisation. Attention, il ne s’agit pas d’une liste exhaustive, les consultations sont en cours et la transposition au niveau national permettra d’y voir plus clair.
A partir de quand ?
La directive est transposée en octobre 2024 au niveau national et applicable en janvier 2025.
Quelles conséquences en cas de non-respect ?
En cas de non-respect de la directive, les organisations s’exposent à des amendes administratives variant en fonction de leur classification. Pour les entités essentielles: les amendes montent jusqu’à 10 M€ ou 2% du CA mondial. Pour les entités importantes, les s’élèvent jusqu’à 7 M€ ou 1,4% du CA Mondial. Les organisations peuvent aussi faire l’objet de sanctions telles que la publication d’annonce publiques, ou de poursuite envers les représentants légaux.
Comment capitaliser sur l’existant pour mettre en place NIS2 ?
L’objectif de NIS1, repris dans NIS2, est de créer des capacités en matière de cybersécurité dans toute l’Union Européenne, d’atténuer les menaces pesant sur les réseaux et les systèmes d’information servant à fournir des services essentiels dans des secteurs clés et d’assurer la continuité de ces services en cas d’incidents, contribuant ainsi à la sécurité de l’Union et au bon fonctionnement de son économie et de sa société.
Le périmètre peut sembler vaste de prime abord, mais l’utilisation des standards définissant les bonnes pratiques du marché permet d’établir une base solide pour répondre aux enjeux de la directive NIS2.
Comment ? Les standards ISO 27001 et ISO 22301 sont des standards internationaux qui permettent des analyses approfondies des besoins métiers et des risques. Ils intègrent les principes de cybersécurité et de continuité dans la culture d’entreprise mais aussi des principes d’amélioration continue avec le fameux « Plan/Do/Check/Act » ou PDCA.
Ces standards permettent d’engager les organes de direction et donc de disposer d’un cadre de gouvernance. La mise en place de ces pratiques offre un socle solide et permet de réduire l’effort d’adoption de NIS2.
L’accompagnement d’un expert pour mettre en place NIS2
Notre expertise vous permet notamment de capitaliser sur l’existant pour répondre aux exigences de la directive NIS2 et faciliter son adoption.
Notre approche de cyber-résilience structurée permettra de vérifier si vous êtes concernés par la directive NIS2, mais aussi d’identifier vos processus critiques, d’analyser vos risques cyber, puis de revoir vos mesures de sécurité et vos PCA/PRA et enfin de contrôler et mesurer leur efficacité.
N’hésitez pas à vous faire accompagner d’un expert afin d’y voir plus clair et de faire le point sur la situation individuelle de votre organisation à la lumière de la directive NIS2. Et si cet article vous a plus, n’hésitez pas à visionner notre webinar consacré à la directive NIS2 et la cyber-résilience ou à contacter nos experts pour toute question.