NIS 2 a maintenant force de loi dans l’UE : êtes-vous prêt à vous y conformer ?
La dépendance croissante à l’égard de l’infrastructure numérique se produit dans presque tous les secteurs critiques : soins de santé, fabrication, transport, transmission et distribution d’énergie, etc. En raison de l’augmentation de la surface d’attaque créée par la convergence IT-OT, nombre de ces secteurs deviennent de plus en plus la cible de cyberattaques.
En conséquence, les réglementations en matière de cybersécurité sont souvent davantage prises en compte dans la législation. L’intensification des menaces de cybercriminalité nécessite une mise à jour et une refonte du cadre juridique pour répondre aux exigences de sécurité actuelles. Pour parvenir à une cyber-résilience complète au sein de l’Union européenne (UE), par exemple, l’Europe travaille sur de nombreuses directives visant à atténuer la situation par le biais de réglementations.
La première directive de l’UE sur la sécurité des réseaux et de l’information (NIS1) est entrée en vigueur en 2016, la norme NIS 2 étendant les exigences minimales en matière de sécurité des réseaux et de l’information de la première version de la directive NIS en 2023. Le 17 octobre 2024, NIS 2 a atteint son délai d’application complet, ce qui signifie qu’elle doit maintenant être transposée dans la législation nationale des États membres de l’UE.
La directive NIS 2 contient les principales mesures d’atténuation des risques que les organisations des secteurs critiques doivent envisager pour pouvoir survivre dans le paysage changeant des menaces. Elle vise à renforcer la cyber-résilience des entreprises au sein de l’UE et à créer un niveau normalisé de cybersécurité.
Le champ d’application de NIS2
Le champ d’application de la directive NIS 2 est nettement plus large que celui de NIS 1 : environ 10 fois plus d’entreprises sur un total de 18 secteurs doivent mettre en œuvre les mesures par rapport à la précédente directive NIS.
Les petites entreprises (moins de 50 employés) sont également assujetties à la norme NIS 2. Les exigences s'appliquent évidemment aux entreprises des États membres de l'UE, mais aussi aux fournisseurs qui travaillent avec des entreprises de l'UE. Cette directive établit une nouvelle norme en matière de sécurité des réseaux et de l’information avec des implications internationales.
Les entreprises de l’UE qui ne mettent pas en œuvre ces mesures de gestion des risques seront passibles d’amendes du niveau du RGPD :
- Pour les entreprises « essentielles » : amendes allant jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires mondial (le montant le plus élevé doit être payé)
- Pour les entreprises « importantes » : amendes allant jusqu’à 7 millions d’euros ou 1,7 % du chiffre d’affaires mondial (le montant le plus élevé doit être payé)
Le plus grand défi de la mise en œuvre de NIS 2
Outre d’autres obligations, les mesures de gestion des risques de l’article 21 de la directive NIS 2 pour les entreprises des secteurs critiques constituent le contenu central de la nouvelle édition de la directive NIS.
Le principal défi est le suivant : les obligations découlant de la norme NIS 2 ne sont pas suffisamment spécifiques pour dériver directement les stratégies de mise en œuvre, les architectures ou la sélection des technologies appropriées. Ni la directive NIS 2 ni les mises en œuvre juridiques des États membres de l’UE ne suffisent à définir des solutions de cybersécurité adaptées.
Mesures de gestion des risques de l’article 21 de la directive NIS 2
- Vous trouverez ci-dessous une liste des mesures de gestion des risques énumérées dans le cadre de la directive NIS 2 :
- Politiques d’analyse des risques et de sécurité des systèmes d’information
- Gestion des incidents
- Continuité d’activité, telle que la gestion des sauvegardes et la reprise après sinistre, et la gestion des crises
- Sécurité de la chaîne d’approvisionnement, y compris les aspects liés à la sécurité concernant les relations entre chaque entité et ses fournisseurs directs ou prestataires de services
- Sécurité dans l’acquisition, le développement et la maintenance des réseaux et des systèmes d’information, y compris le traitement et la divulgation des vulnérabilités
- Politiques et procédures d’évaluation de l’efficacité des mesures de gestion des risques liés à la cybersécurité
- Pratiques de base en matière de cyber-hygiène et formation à la cybersécurité
- Politiques et procédures concernant l’utilisation de la cryptographie et, le cas échéant, du chiffrement
- Sécurité des ressources humaines, politiques de contrôle d’accès et gestion des ressources
- L’utilisation de solutions d’authentification multifactorielle ou d’authentification continue, de communications vocales, vidéo et textuelles sécurisées et de systèmes de communication d’urgence sécurisés au sein de l’entité, le cas échéant.
Les entreprises doivent collaborer avec leurs fabricants et fournisseurs pour mettre en œuvre ces exigences.
Comment Belden peut vous aider avec NIS 2
Belden peut vous aider à mieux comprendre la directive NIS 2 et à vous conformer aux exigences. Nous travaillons avec les entreprises pour développer des solutions personnalisées pour leurs environnements. Par exemple, une bonne première étape sur votre chemin vers la conformité peut être le service d’évaluation de réseau de Belden.
Dans notre livre blanc, vous trouverez un aperçu complet de la norme européenne de cybersécurité et de toutes les obligations de NIS 2, ainsi qu’une explication de la manière dont Belden et ses solutions peuvent vous aider à répondre aux exigences.
De plus, nos experts expliquent tout ce que vous devez savoir sur la directive NIS 2 lors d’un webinaire.
Prêt à faire le premier pas pour améliorer votre infrastructure réseau ?
Liens associés :