La directive NIS2 : assurer la conformité

Qu’est-ce que la Directive NIS2?

Avec la directive NIS2, des mesures de sécurité obligatoires et des exigences de rapport s’appliqueront à de nombreuses entreprises à partir d’octobre 2024 – même celles qui n’étaient pas concernées auparavant

La directive NIS2 (Network and Information Systems 2 Directive) est un texte de loi européen détaillé visant à renforcer la cybersécurité dans les États membres. À partir d’octobre 2024, elle remplacera la directive NIS originale de 2016, en étendant son champ d’application à des secteurs plus critiques et en fixant des exigences de sécurité plus élevées. En particulier, les prestataires de services numériques sont désormais également inclus dans le champ d’application de la NIS2, ce qui étend considérablement la portée de la directive.

Votre organisation est-elle affectée par la Directive NIS2?

Vérifiez si votre entreprise est concernée et quelles sont les exigences auxquelles vous devez répondre :

La Directive NIS2 : quels sont les secteurs affectés ?

Les domaines couverts par la directive NIS2 :

Analyse des risques et politiques de sécurité pour les systèmes d’information

Gestion des incidents

– Gestion de la continuité des activités

Gestion des sauvegardes

Gestion de crise

Sécurité de la chaîne d’approvisionnement

Mesures de sécurité pour l’acquisition, le développement

et la maintenance des réseaux et des systèmes d’information

Gestion des vulnérabilités

 Évaluation de l’efficacité des mesures de gestion des risques

 Procédures de sécurité pour les collaborateurs ayant accès à des données sensibles ou importantes

– Formation et sensibilisation à la cybersécurité

 Concepts pour l’utilisation de la cryptographie

– Contrôle d’accès et gestion des actifs

– Utilisation de l’authentification multifactorielle (MFA) ou de l’authentification continue (SSO)

– Sécurisation des communications vocales, vidéo et textuelles et, si nécessaire, sécurisation des systèmes de communication d’urgence

– Mise en œuvre d’un système de gestion de la sécurité de l’information

Pour avoir une vue d’ensemble de tous ces éléments, vous pouvez télécharger notre checklist NIS2 ici.

Obligations de déclaration des cyber incidents : Que faut-il signaler ?

Il est essentiel de savoir quels incidents cyber doivent être signalés, à qui et dans quel délai. Par exemple, une première alerte doit être envoyée à l’autorité de sécurité du pays dans les 24 heures suivant la suspicion d’un incident. Si les soupçons sont fondés ou confirmés, un rapport sur l’incident de sécurité doit suivre dans les 72 heures. Enfin, un rapport final doit être envoyé au plus tard un mois après la notification de l’incident confirmé.

 

Le rapport final doit comprendre les éléments suivants :

  • le rapport de réponse à l’incident
  • la discussion sur la vulnérabilité exploitée
  • les mesures correctives prises et en cours
  • la zone d’impact

Si l’incident n’est pas résolu dans un délai d’un mois, les organisations sont tenues de fournir un rapport d’avancement. Dans ce cas, le rapport final doit suivre au plus tard un mois après le traitement de l’incident de sécurité.

Comme vous pouvez le constater, ces délais sont extrêmement serrés. Pour gagner un temps précieux en cas d’incident, nous recommandons un « exercice d’urgence de réponse à incident » annuel et un contrat-cadre pour les activités de réponse à incident. Cela permet à l’équipe d’intervention de se familiariser avec vos systèmes en « temps de paix ». Cela vous permet également de définir à l’avance les points de contact, les équipes de crise et les décideurs, et de les familiariser avec les processus importants de la chaîne de communication.

Vous n’êtes pas sûr de la marche à suivre ? Nos experts peuvent vous aider.

Contactez-nous pour découvrir comment nous pouvons vous aider