Dejan KosuticMise à jour le 6 mars 2024 (transposition dans les Etats membres)
Si votre entreprise s’apprête à se conformer à NIS 2 (SRI 2), vous vous demandez sûrement ce que vous devez faire. Cet article présente les exigences les plus importantes de NIS 2 auxquelles se conformer, en se concentrant principalement sur le chapitre IV — Mesures de gestion des risques en matière de cybersécurité et obligations d’information.
- Responsabilités de la haute direction
- Importance de la formation
- Approche de la cybersécurité axée sur les risques
- Cybersécurité : mélange de mesures techniques, opérationnelles et organisationnelles
- Sécurité de la chaîne d’approvisionnement
- Notification des incidents importants
- Utilisation de produits et de services informatiques certifiés
- Amendes
De façon surprenante, parmi les 46 articles de la directive NIS 2, seuls 20 à 25 articles sont réellement pertinents pour les entreprises (c’est-à-dire les entités essentielles et importantes) qui doivent se conformer à NIS 2 ; la plupart des autres articles définissent les exigences pour les organismes publics qui règlementent la cybersécurité.
Voir également : 15 étapes de mise en œuvre des mesures de gestion des risques en matière de cybersécurité de NIS 2
Les exigences les plus importantes se trouvent dans le chapitre IV et s’articulent autour de deux thèmes principaux : gestion des risques de cybersécurité et obligations d’information. En dehors du chapitre IV, il existe seulement quelques exigences pertinentes pour les entités essentielles et importantes.
Voici donc les exigences essentielles de NIS 2 que vous devez connaître :
1) Responsabilités de la haute direction
En vertu de l’article 20, la direction générale des entités essentielles et importantes :
- doit approuver les mesures en matière de cybersécurité qui doivent être mises en œuvre au sein de l’entreprise ;
- doit superviser leur mise en œuvre ; et
- peut être tenue responsable si la cybersécurité n’est pas correctement mise en œuvre.
Les articles 32 et 33 soulignent en outre la responsabilité des représentants légaux des entités essentielles et des entités importantes.
2) Importance de la formation
En vertu de l’article 20, les membres de la direction générale doivent suivre une formation en matière de cybersécurité et doivent permettre à leurs employés de suivre cette formation à intervalles réguliers.
NIS 2 exige que cette formation couvre l’identification des risques, l’évaluation des pratiques en matière de cybersécurité et la façon dont ces mesures de cybersécurité permettent à l’entreprise de fournir ses services.
Cliquez ici pour visionner 25 vidéos de sensibilisation à la sécurité pour former les employés de votre entreprises.
3) Approche de la cybersécurité axée sur les risques
L’article 21 exige que les mesures de cybersécurité soient appropriées pour les risques concernés ; lors de l’évaluation des risques, NIS 2 exige que les entreprises tiennent compte des éléments suivants :
- exposition aux risques
- taille de l’entreprise
- probabilité de survenance d’incidents et de leur gravité
- conséquences sociétales et économiques des incidents
4) Cybersécurité : mélange de mesures techniques, opérationnelles et organisationnelles
L’article 21 exige des entreprises qu’elles « prennent les mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées pour gérer les risques qui menacent la sécurité des réseaux et des systèmes d’information […] ainsi que pour éliminer ou réduire les conséquences que les incidents ont sur les destinataires de leurs services et sur d’autres services. »
En outre, l’article 21 exige une approche « tous risques », ce qui signifie essentiellement que les entreprises doivent se préparer à un large éventail de menaces potentielles.
Enfin, l’article 21 précise une série de documents et de mesures en matière de cybersécurité, qui sont énumérés dans cet article : Liste des documents requis selon NIS 2.
5) Sécurité de la chaîne d’approvisionnement
L’article 21 exige des entreprises qu’elles accordent une attention particulière aux risques liés aux fournisseurs et prestataires de services directs, en particulier :
- Les vulnérabilités propres à chaque fournisseur et prestataire de services direct
- La qualité globale des produits et des pratiques de cybersécurité de leurs fournisseurs et prestataires de services
- Les procédures de développement sécurisé de leurs fournisseurs et prestataires de services
6) Notification des incidents importants
L’article 23 exige des entreprises qu’elles notifient tout incident ayant un impact important à leurs centres de réponse aux incidents de sécurité informatique (CSIRT) de la façon suivante :
- Une alerte précoce qui — indique si l’on suspecte l’incident important d’avoir été causé par des actes illicites ou malveillants ou s’il pourrait avoir un impact transfrontière.
- Une notification d’incident — fournit une évaluation initiale de l’incident important, y compris de sa gravité et de son impact, ainsi que des indicateurs de compromission, lorsqu’ils sont disponibles.
- Un rapport intermédiaire — fournit des mises à jour pertinentes de la situation.
- Un rapport final — doit être créé au plus tard un mois après la présentation de la notification d’incident.
- Un rapport d’avancement — est créé en cas d’incident en cours au moment de la présentation du rapport final.
Voir également : Quelles sont les obligations d’information selon NIS 2 ?
7) Utilisation de produits et de services informatiques certifiés
NIS 2 n’exige par que les entités essentielles et importantes soient certifiées. Cependant, la directive NIS 2 permet aux pays de l’UE (États membres) ou à la Commission européenne d’exiger que ces entités utilisent des produits ou des services informatiques qui sont certifiés. Au moment de la rédaction de cet article, il n’existe aucune exigence en matière d’utilisation de produits ou de services informatiques certifiés, mais il y a de fortes chances que cela devienne obligatoire.
Ces produits et services informatiques devront être certifies en vertu du schéma européen de certification de cybersécurité.
8) Surveillance et amendes
Le NIS 2 exige une surveillance stricte des entités essentielles et importantes : inspections sur site, supervision hors site, audits de cybersécurité et analyses de sécurité.
Semblable au RGPD UE, l’article 34 introduit des amendes pour les entreprises qui ne se conforment pas à NIS 2 :
- Pour les entités essentielles : montant maximal s’élevant à au moins 10 millions d’EUR ou à au moins 2 % du chiffre d’affaires annuel mondial total.
- Pour les entités importantes : montant maximal s’élevant à au moins 7 millions d’EUR ou à au moins 1,4 % du chiffre d’affaires annuel mondial total.
D’après l’expérience acquise avec le RGPD UE, dans les deux premières années d’entrée en vigueur, aucune sanction importante n’est généralement imposée aux entreprises.
Autres lois des pays de l’UE
Malheureusement, l’histoire n’est pas finie : les pays de l’UE (États membres) peuvent introduire leurs propres exigences en matière de cybersécurité et d’information en complément des dispositions de NIS 2. Ce processus d’adoption d’une législation interne fondée sur une directive de l’UE est appelée « transposition ».
À la date de rédaction de cet article, un seul État membre a transposé le NIS 2 dans sa législation locale :
Comme dans le cas de la loi croate sur la cybersécurité, la plupart des États membres n’introduiront probablement pas de nouvelles exigences plus importantes, mais on peut s’attendre à des exigences supplémentaires plus modestes – dans tous les cas, je mettrai à jour cet article lorsque cela se produira.
Pour en savoir plus sur NIS 2, téléchargez ce livre blanc gratuit : Guide complet sur la directive NIS 2.