La directive sur la sécurité des réseaux et de l'information (Network and Information Security Directive 2, ou NIS2).

Équipe éditoriale de Getronics

Dans cet article :

Tout ce que vous devez savoir sur NIS2

Le mois d'octobre est une période extrêmement importante pour les fournisseurs de services de sécurité. C'est non seulement le mois de la cybersécurité, mais aussi la date d'entrée en vigueur de la directive sur la sécurité des réseaux et de l'information (Network and Information Security Directive 2, ou "NIS2").

Lisez la suite pour découvrir tout ce que vous devez savoir sur la directive NIS2, partagé par notre responsable mondial de la sécurité opérationnelle, Rob Nidschelm.

Que signifie NIS2 ?

NIS2 est une mise à jour des cadres réglementaires. Elle est introduite par l'UE afin de renforcer la cybersécurité dans l'ensemble du secteur et d'améliorer la résilience des infrastructures critiques. La directive NIS (2016) est à la base de cette nouvelle mise à jour, l'objectif initial étant d'améliorer la cybersécurité des services essentiels. L'énergie, les soins de santé, les transports et les services numériques sont tous concernés.

NIS2, quant à lui, vise à améliorer la capacité des organisations de ces secteurs à répondre efficacement aux cybermenaces, ce qui signifie qu'elles seront en mesure de prévenir, de détecter, de répondre et de se remettre d'incidents qui pourraient s'avérer catastrophiques. Les entreprises favoriseront un environnement numérique plus sûr et plus résistant dans l'ensemble de l'UE.

La DIRECTIVE NIS2 a été adoptée par le Parlement européen en novembre 2022, mais son entrée en vigueur est prévue pour octobre 2024. C'est à cette date que les États membres de l'UE devront intégrer les exigences de NIS2 dans leur législation nationale, et les organisations au sein de l'UE devront également se conformer à ces nouvelles normes.

De quelle manière NIS2 va-t-ELLE modifier le paysage de la cybersécurité ?

NIS2 va changer notre industrie de plusieurs façons. Nous allons examiner ci-dessous les plus importantes d'entre elles.

Étant donné que le nouveau cadre élargit son champ d'application réglementaire, nous pouvons nous attendre à ce qu'il couvre davantage de secteurs et de services essentiels. La liste comprendra désormais les chaînes d'approvisionnement alimentaire, la gestion des déchets et les fabricants de produits critiques. Cette mise à jour est un parfait exemple du soutien qu'apportera la directive NIS2, en veillant à ce qu'un nombre encore plus grand d'industries soient protégées contre les cybermenaces.

Grâce à de nouvelles pratiques de normalisation, la communication d'informations dans l'UE est sur le point de devenir beaucoup plus claire. Les organisations doivent informer les autorités compétentes d'un incident de cybersécurité important dans les 24 heures suivant sa détection. Ainsi, les délais de réaction seront courts, l'aide arrivera rapidement et l'ensemble de l'UE sera en sécurité.

La responsabilité est un élément essentiel pour assurer la sécurité d'une organisation. Les équipes de direction seront désormais chargées de veiller au respect de la norme NIS2 et devront procéder à des audits et des évaluations régulières de leur cybersécurité. Cette responsabilité n'est pas légère, mais elle est nécessaire à la santé globale d'une entreprise.

D'autres changements importants concernent l'examen de la sécurité des tiers et des fournisseurs, ainsi que le renforcement de la gestion des risques.

Quel sera l'impact si NIS2 n'est pas mis en œuvre ?

L'absence de mise en œuvre de NIS2 peut avoir des conséquences importantes pour les organisations et les secteurs couverts par la directive :

  • Risque accru de cyberattaques
  • Sanctions pour non-conformité
  • Instabilité opérationnelle
  • Atteinte à la réputation
  • Vulnérabilités de la chaîne d'approvisionnement
  • Perte d'avantage concurrentiel

Sans les mesures obligatoires de cybersécurité de NIS2, les organisations sont plus vulnérables aux cyberattaques, qui pourraient entraîner de graves perturbations opérationnelles, des pertes financières ou des données compromises. Si une telle chose se produit, une organisation peut se voir infliger des amendes et des pénalités considérables. Cela peut facilement entraîner une perte de la chaîne d'approvisionnement, des fournisseurs et nuire à la réputation de l'entreprise.  

Comment les entreprises peuvent-elles se préparer ?

Votre organisation peut prendre plusieurs mesures proactives pour se préparer à NIS2.

Une évaluation complète de vos pratiques actuelles en matière de cybersécurité permettra d'identifier les lacunes dans la gestion des risques, la réponse aux incidents et les capacités de résilience. Cette évaluation jette les bases de l'évaluation et du contrôle des pratiques de cybersécurité des fournisseurs et prestataires de services tiers, et de l'élaboration de vos protocoles de signalement des incidents. Il est important d'établir des procédures claires de signalement des incidents, afin de garantir une notification rapide aux autorités et une réponse efficace aux incidents.

Testez régulièrement, mettez à jour en conséquence et évaluez votre état de préparation à l'aide d'exercices. Se préparer à un incident de cybersécurité, c'est déjà la moitié de la bataille quand il s'agit de se rétablir.

Les problèmes que NIS2 contribuera à résoudre

La cybersécurité n'est pas la première chose à laquelle on pense lorsqu'on ouvre une entreprise, mais elle est souvent la source de problèmes majeurs. En vous alignant sur le règlement NIS2, vous pouvez vous assurer que vous travaillez sur une base de sécurité dans les services essentiels, et que ces services correspondent à ceux du reste de l'UE. Cela permet à toute une série de secteurs de rester à jour et connectés. Les entreprises se parlent en permanence, informent les autorités des menaces et créent un réseau de soutien à travers le continent. Vous ferez partie d'une équipe d'organisations inveties et réactives.

Comment Getronics peut-elle vous aider ?

Getronics dispose d'une longue liste de services qui vous aideront à répondre, voire à dépasser, les directives impliquées dans NIS2. Nous pouvons vous conseiller sur la qualité de votre cybersécurité actuelle, identifier les points faibles et suggérer des moyens de les renforcer. Getronics facilitera la mise en place d'une stratégie claire en proposant des actions qui ne se contentent pas de s'aligner sur NIS2, mais qui offrent également des services CTI qui recueillent, analysent et appliquent des renseignements exploitables.

Les menaces émergentes sont repérées avant qu'elles ne deviennent un problème, ce qui vous donne plus de temps pour vous préparer.

Getronics dispose d'un centre d'opérations de sécurité (SOC) dédié, qui offre des services de surveillance, de détection et de réponse en continu. Nous contribuons à atténuer les cyber-incidents.

Le plus important dans notre offre est que nous restons toujours à jour avec les autres normes au niveau mondial. Consultez notre article "Demandez à un expert" sur DORA, et vous verrez comment nous pouvons intégrer les deux directives ensemble, vous aidant ainsi à vous conformer pleinement à toutes les réglementations.

Contactez nos experts pour en savoir plus sur la manière d'être en conformité avec NIS2 et sur la manière dont Getronics peut vous aider à la dépasser.