Le RGPD est sans doute la norme réglementaire qui a eu le plus d'impact et qui a changé la façon dont les entreprises travaillent. Il s'agit d'une législation européenne, mais les organisations du monde entier ont pris conscience de la portée de la norme réglementaire et ont décidé qu'il était logique de suivre les réglementations du RGPD, même si une entreprise n'avait qu'une présence minimale dans l'UE (Union Européenne).
Avec le RGPD, la confidentialité, la sécurité, la protection et les droits des données doivent être garantis au niveau de l'utilisateur et du client. Le règlement a été conçu pour donner aux utilisateurs plus de contrôle et de transparence sur les données que les entreprises collectent sur eux. Bien que quelques années seulement se soient écoulées depuis la mise en œuvre de la loi, celle-ci a modifié le paysage de la manière dont les entreprises traitent les données des utilisateurs.
Nous pensons qu'il existe une nouvelle norme de conformité qui pourrait avoir un impact tout aussi important que le RGPD, mais les discussions à son sujet ont été minimes. Il s'agit d'une norme de conformité basée dans l'UE, appelée directive NIS2, qui a un impact sur un nombre beaucoup plus important d'entreprises que la directive NIS originale.
Il s'agit d'une nouvelle directive sur la cybersécurité qui vise à établir des rapports de base sur les incidents, la gestion des risques de cybersécurité, la gestion des risques de la chaîne d'approvisionnement, et impose de lourdes amendes en cas de non-conformité. Alors que le RGPD visait à améliorer les normes de confidentialité et de sécurité au niveau des données des utilisateurs, NIS2 vise à améliorer les normes de confidentialité et de sécurité pour les entreprises et les organisations dans leur ensemble.
Même si les entreprises ne devront pas se conformer à cette nouvelle directive avant l'automne 2024, il est important qu'elles soient prêtes le plus tôt possible, car la mise en conformité peut nécessiter un effort important, en fonction des contrôles et de la stratégie de cybersécurité dont disposent actuellement les entreprises. En donnant la priorité à la mise en conformité avec la directive NIS2 dès maintenant, les entreprises peuvent s'assurer qu'elles respecteront la date limite et n'auront pas à se démener à l'approche de cette date.
Dans cet article, nous allons passer en revue les questions les plus courantes que vous pouvez vous poser sur NIS2.
La NIS est la directive sur la sécurité des réseaux et de l'information (Network and Information Security), un texte législatif européen sur la cybersécurité, qui est une forme élargie de la directive NIS initiale.
Le NIS2 élargit les entreprises auxquelles il s'applique à plusieurs secteurs et impose des exigences plus spécifiques et plus strictes en matière de cybersécurité et de gestion des risques, tout en augmentant les amendes et les sanctions en cas de non-conformité.
Le NIS2 exige notamment que les entreprises :
Gèrent les risques au sein de leur réseau et de leurs systèmes d'information
Mettent en œuvre une norme minimale de mesures de sécurité portant sur la sécurité de la chaîne d'approvisionnement, la gestion des vulnérabilités, l'évaluation de la gestion des risques de cybersécurité, etc.
Se concentrent davantage sur la gestion des risques critiques de la chaîne d'approvisionnement.
Mettent en place un organe de gestion qui supervise et approuve les mesures de cybersécurité et qui est formé à ces mesures.
Respectent une fenêtre d'intervention spécifique, qui peut aller de 24h à 72h après avoir pris connaissance de l'incident, et publier un rapport final un mois après la notification de l'incident.
Vous trouverez le texte exact du NIS2 ici.
NIS 1, ou simplement NIS, a été initialement adopté en 2016, mais les entreprises auxquelles il s'appliquait étaient limitées, en particulier par rapport au NIS 2. NIS ne prévoyait également qu'une mise en œuvre minimale et des sanctions beaucoup moins sévères en cas de non-respect.
NIS2 étant une directive européenne, il s'applique à toutes les entreprises basées dans un État membre de l'UE.
La nouvelle directive s'applique aux entreprises désignées comme "entités essentielles" et "entités importantes". Bien que le seuil de taille varie selon les secteurs, les entités essentielles comprennent les entreprises employant 250 employés ou plus et réalisant un chiffre d'affaires de 50 millions d'euros ou un bilan de 43 millions d'euros. Les entités importantes sont les entreprises qui emploient plus de 50 employés et dont le chiffre d'affaires annuel ou le bilan s'élève à 10 millions d'euros.
Les secteurs applicables au sein des entités essentielles sont les suivants :
Les secteurs applicables au sein des "entités importantes" sont les suivants :
Tous les secteurs au sein des entités essentielles mais avec le seuil de taille "Entités importantes"
Si une entité ne remplit pas ces conditions mais est un "fournisseur unique" sociétal ou économique critique au sein d'un État membre, elle peut être désignée comme une entité essentielle ou importante. Toutefois, les États membres doivent finaliser leur liste d'entités essentielles et importantes d'ici avril 2025.
Outre le fait qu'elle élargit considérablement le champ des entreprises qui doivent se conformer à la NIS2, la nouvelle directive prévoit également des amendes beaucoup plus lourdes et détaille des règles et des mesures d'application plus strictes dont disposent les régulateurs pour s'assurer que les entreprises se conforment à la NIS2.
Il s'agit notamment de pouvoirs d'enquête et de surveillance :
Les entités essentielles peuvent faire l'objet d'audits et d'inspections à tout moment. Les entités importantes, en revanche, ne peuvent faire l'objet d'une enquête qu'après un incident.
Bien que des amendements au NIS2 soient encore attendus, nous pensons que le NIS2 peut s'appliquer à toute entreprise exerçant des activités au sein de l'UE.
Les organisations qui ne se conforment pas à la directive NIS2 s'exposent à de lourdes amendes.
- Les entités essentielles risquent jusqu'à 10 millions d'euros ou 2 % de leur chiffre d'affaires global.
- Les entités importantes risquent jusqu'à 7 millions d'euros ou 1,4 % de leur chiffre d'affaires global.
Pour toutes les entités, c'est le nombre le plus élevé des deux qui sera retenu. Des sanctions non pécuniaires supplémentaires peuvent être imposées aux organisations qui ne respectent pas les règles. Il s'agit notamment d'injonctions de se conformer, d'instructions contraignantes, d'obligations de notification et de rapport aux parties concernées, et de mises en œuvre pouvant découler des résultats d'audits de sécurité.
NIS2 a été officiellement publié le 27 décembre 2022 et est entré en vigueur le 16 janvier 2023. Les États membres de l'UE sont tenus d'incorporer la NIS2 dans leur législation nationale d'ici le 18 octobre 2024. Les organisations concernées doivent également se conformer à cette directive d'ici le 18 octobre 2024.
Bien que des modifications soient encore apportées au NIS2, nous ne nous attendons pas à ce que beaucoup de choses changent et les entreprises devraient commencer à mobiliser leurs départements pour pouvoir se conformer à cette nouvelle directive. Voici quelques étapes recommandées :
La manière dont les organisations se mettent en conformité varie en fonction de l'environnement, des contrôles et politiques de sécurité existants et de la stratégie actuelle de gestion des risques. Si vous disposez déjà d'une solide stratégie de cybersécurité et de cyber-résilience, il se peut que vous n'ayez pas grand-chose à changer. En revanche, pour les petites organisations ou les départements disposant de moins de ressources, il s'agira peut-être d'une entreprise de plus grande envergure.
Nos recherches et nos analystes sont toujours au fait des nouveaux cadres réglementaires et nos diverses solutions et partenariats disponibles peuvent aider les entreprises à se mettre en conformité avec le NIS2 sans perdre de temps.
tags
Bitdefender is a cybersecurity leader delivering best-in-class threat prevention, detection, and response solutions worldwide. Guardian over millions of consumer, enterprise, and government environments, Bitdefender is one of the industry’s most trusted experts for eliminating threats, protecting privacy, digital identity and data, and enabling cyber resilience. With deep investments in research and development, Bitdefender Labs discovers hundreds of new threats each minute and validates billions of threat queries daily. The company has pioneered breakthrough innovations in antimalware, IoT security, behavioral analytics, and artificial intelligence and its technology is licensed by more than 180 of the world’s most recognized technology brands. Founded in 2001, Bitdefender has customers in 170+ countries with offices around the world.
Voir toutes les publications