Avec la directive NIS2, des mesures de sécurité obligatoires et des exigences de rapport s’appliqueront à de nombreuses entreprises à partir d’octobre 2024 – même celles qui n’étaient pas concernées auparavant
La directive NIS2 (Network and Information Systems 2 Directive) est un texte de loi européen détaillé visant à renforcer la cybersécurité dans les États membres. À partir d’octobre 2024, elle remplacera la directive NIS originale de 2016, en étendant son champ d’application à des secteurs plus critiques et en fixant des exigences de sécurité plus élevées. En particulier, les prestataires de services numériques sont désormais également inclus dans le champ d’application de la NIS2, ce qui étend considérablement la portée de la directive.
Vérifiez si votre entreprise est concernée et quelles sont les exigences auxquelles vous devez répondre
Les domaines couverts par la directive NIS2 :
Pour avoir une vue d’ensemble de tous ces éléments, vous pouvez télécharger notre checklist NIS2 ici.
Obligations de déclaration des cyber incidents : Que faut-il signaler ?
Il est essentiel de savoir quels incidents cyber doivent être signalés, à qui et dans quel délai. Par exemple, une première alerte doit être envoyée à l’autorité de sécurité du pays dans les 24 heures suivant la suspicion d’un incident. Si les soupçons sont fondés ou confirmés, un rapport sur l’incident de sécurité doit suivre dans les 72 heures. Enfin, un rapport final doit être envoyé au plus tard un mois après la notification de l’incident confirmé.
Le rapport final doit comprendre les éléments suivants :
- le rapport de réponse à l’incident
- la discussion sur la vulnérabilité exploitée
- les mesures correctives prises et en cours
- la zone d’impact
Si l’incident n’est pas résolu dans un délai d’un mois, les organisations sont tenues de fournir un rapport d’avancement. Dans ce cas, le rapport final doit suivre au plus tard un mois après le traitement de l’incident de sécurité.
Comme vous pouvez le constater, ces délais sont extrêmement serrés. Pour gagner un temps précieux en cas d’incident, nous recommandons un « exercice d’urgence de réponse à incident » annuel et un contrat-cadre pour les activités de réponse à incident. Cela permet à l’équipe d’intervention de se familiariser avec vos systèmes en « temps de paix ». Cela vous permet également de définir à l’avance les points de contact, les équipes de crise et les décideurs, et de les familiariser avec les processus importants de la chaîne de communication.
Vous n’êtes pas sûr de la marche à suivre ? Nos experts peuvent vous aider.