La NIS 2
À partir du 18 octobre 2024, la nouvelle directive européenne relative à la cybersécurité, à savoir la NIS 2, deviendra obligatoire. Ce règlement contraignant définit la norme en matière de cybersécurité dans toute l'Union européenne et oblige les entreprises de différents secteurs à prouver leur stratégie de sécurité.
Le compte à rebours est lancé et les entreprises sont invitées à agir.
Préparons-nous ensemble !
Qu'est-ce que la NIS 2 ?
Avec la NIS 2 (sécurité des réseaux et de l'information), l'UE a introduit des règles strictes en matière de cybersécurité pour ses États membres. La NIS 2 succède à la directive NIS, entrée en vigueur dès 2016. La mise en œuvre d'une stratégie de sécurité globale n'est donc plus seulement nécessaire pour se protéger contre les cyberattaques, elle est aussi légalement obligatoire.
Les États membres doivent adopter les mesures nécessaires pour se conformer à la directive NIS 2 au plus tard pour le 17 octobre 2024 et ils devront appliquer ces mesures à partir du 18 octobre 2024.
En quoi la NIS 1 diffère-t-elle de la NIS 2 ?
La NIS 2 est une version améliorée de la directive NIS de 2016, qui visait déjà à garantir un niveau élevé de sécurité des systèmes de réseau et d'information dans l'Union, mais qui présentait certaines faiblesses.
Les principales différences entre la NIS 1 et la NIS 2 sont les suivantes :
-
La nouvelle version intègre davantage de secteurs et d'entreprises indispensables à la société et à l'économie, tels que l'énergie, les soins de santé, les transports et les infrastructures numériques.
-
La NIS 2 invite les entreprises et les organisations concernées à gérer efficacement les risques et à signaler les incidents touchant à la cybersécurité aux autorités nationales compétentes, qui peuvent alors prendre les mesures nécessaires. La NIS 1 ne donnait que des directives générales sur les mesures de sécurité et le signalement des incidents.
-
La nouvelle directive sur la sécurité prévoit des sanctions plus sévères pour les États membres, pouvant aller jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires mondial, si les entreprises et organisations concernées ne mettent pas en œuvre les mesures de sécurité nécessaires ou ne signalent pas aux autorités nationales compétentes les incidents graves ou significatifs touchant à la cybersécurité. La NIS 1 laissait aux États membres le soin de déterminer les sanctions, ce qui donnait lieu à des différences d'application.
-
La NIS 2 souligne la responsabilité personnelle de la direction en matière de cybersécurité et stipule pour la première fois que les directeurs généraux répondent du non-respect des exigences légales sur leur patrimoine personnel.
Qui est concerné ?
Le 17 octobre 2024 : c'est la date à laquelle les 27 États membres de l'UE devront avoir intégré de manière transparente les règles de cybersécurité NIS 2 dans leur législation nationale. Mais il reste une question urgente à régler : quelles sont les entreprises obligées de mettre en œuvre la directive NIS 2 ?
Entités essentielles : il s'agit des organisations opérant dans le domaine des infrastructures critiques. Cela inclut par exemple les secteurs de l'énergie, des transports, de la gestion des eaux, des soins de santé ou des banques.
Entités importantes : cette catégorie comprend les principales entreprises de l'industrie alimentaire et chimique ainsi que celles responsables de la fabrication d'appareils électriques, de machines et de véhicules.
Les États membres ont également la possibilité d'élargir eux-mêmes les groupes cibles concernés par la NIS 2. Ils peuvent ajouter des entités supplémentaires à leurs listes nationales et obliger ainsi les autorités locales, les établissements d'enseignement et plus encore à appliquer les directives.
Quelles sont les sanctions encourues ?
La directive NIS-2 est appliquée de manière stricte et inclut des amendes élevées en cas de non-respect ou de manquement aux obligations de notification. Le montant des amendes dépend de la classification de chaque entreprise.
Les entreprises classées comme « importantes » devront payer des amendes pouvant aller de 7 millions d'euros à 1,4 % maximum du chiffre d'affaires annuel mondial total de l'exercice précédent. Les entreprises dites « essentielles » risquent des amendes allant jusqu'à 10 millions d'euros ou 2 % maximum de leur chiffre d'affaires annuel mondial total.
Le devoir de diligence en matière de cybersécurité n'est pas négociable et la direction de l'entreprise est tenue d'encadrer la mise en œuvre et la surveillance de ces mesures de cybersécurité.
Qu'est-ce que cela signifie concrètement pour vous ?
La directive NIS 2 est une directive européenne qui est entrée en vigueur le 16 janvier 2023 et qui vise à améliorer la cybersécurité et la cyberrésilience des infrastructures critiques et des fournisseurs de services numériques. La directive oblige les entreprises et organisations concernées à se conformer à une gestion efficace des risques et à rapporter les incidents graves ou significatifs touchant à la cybersécurité aux autorités nationales compétentes, qui peuvent alors prendre les mesures nécessaires. Afin de minimiser les dommages potentiels pour les utilisateurs, l'environnement et l'ordre public, l'objectif est de détecter les failles de sécurité à un stade précoce et d'agir préventivement. Pour s'assurer que toutes les parties prenantes respectent les mêmes normes strictes, les entreprises sont également tenues de garantir la sécurité de l'ensemble de la chaîne d'approvisionnement et de transmettre les exigences à leurs partenaires commerciaux et fournisseurs. Parmi les autres mesures, on peut citer entre autres :
-
La mise en œuvre de mesures de sécurité appropriées et proportionnées, conformes aux normes et aux meilleures pratiques actuelles, afin de garantir la confidentialité, l'intégrité, la disponibilité et l'authenticité de leurs données et de leurs services.
-
L'élaboration et la mise à jour d'un plan de continuité des activités permettant de rétablir les conditions de fonctionnement normales après un incident touchant à la cybersécurité.
-
La mise en place d'une authentification multifacteurs pour l'accès à leurs réseaux et systèmes d'information, et ce, afin d'éviter tout accès non autorisé.
L'Agence de l'Union européenne pour la cybersécurité (ENISA) jouera à cet égard un rôle crucial pour contrôler et faciliter l'application de cet acte juridique.
Calendrier de la NIS 2
La directive NIS 2 est entrée en vigueur le 16 janvier 2023 et doit être transposée dans la législation nationale avant le 17 octobre 2024. La mise en œuvre de la directive sera vérifiée pour la première fois par la Commission avant le 17 octobre 2027 et sera ensuite contrôlée tous les 36 mois.
Il est temps de s'activer et de se préparer.
La NIS 2 est déjà entrée en vigueur le 16 janvier 2023
Notre concept complet de sécurité à 360°
La sécurité à 360° – notre offre complète sans compromis
Dans le monde dynamique de la cybersécurité, le changement est une constante et l'introduction de la directive NIS 2 vient souligner cette réalité. Alors que nous attendons que la directive soit transposée dans la législation nationale pour produire son plein effet, il est indéniablement urgent de prendre des mesures.
Pour répondre aux exigences strictes de la norme NIS 2, nous devons nous appuyer sur des normes européennes et internationales qui constituent notre fondement. Ces normes ne définissent pas seulement des produits sûrs, mais établissent également les principes de base pour la mise en œuvre de systèmes de sécurité résistants. Un exemple remarquable en est la CEI 62443, une série de normes mondialement reconnues pour la sécurité dans l'automatisation. Notre concept complet de sécurité à 360° comprend des mesures tant techniques qu'organisationnelles, garanties par les certifications CEI 62443 correspondantes.