NIS2 (Network and Information Security) : une action réglementaire forte au niveau européen.
Face à la multiplication des cybermenaces, exposant davantage les Systèmes d’Information à des risques d’attaques numériques, un cadre réglementaire renforcé pour la sécurité des réseaux et des systèmes d’information a été instauré.
Son objectif est non seulement d’harmoniser les pratiques de cybersécurité à travers l’Union européenne, mais également d’étendre son champ d’application couvrant un grand nombre de secteurs d’activité.
D’ici octobre 2024, le droit local des 27 pays Européens doit s’adapter à cette règlementation. C’est la transposition.
Cette contrainte représente l’occasion pour divers secteurs et organisations de renforcer leurs défenses contre les cyberattaques et favorise une coopération internationale plus efficiente au niveau de la gestion des crises cyber.
➡️ La directive NIS2 (Network and Information Security) concerne les entités opérant dans 18 secteurs d’activité spécifiques, eux-mêmes décomposés en sous-secteurs hautement critiques et critiques.
Les premières entités concernées sont les entités essentielles et importantes (plus de 50 employés, avec un chiffre d’affaires dépassant 10 millions d’euros).
Des critères qui englobent ainsi différentes tailles d’organismes, comme des collectivités territoriales, des PME ou des grandes entreprises.
Ces entités sont définies comment étant des infrastructures dont l’interruption aurait un impact sur l’économie et le bon fonctionnement du pays.
De manière générale, les entreprises de taille intermédiaire (ETI) et les grandes entreprises répertoriées sur la liste des opérateurs de services essentiels (OSE) seront désormais classées comme des entités essentielles.
- administrations locales,
- établissements d’enseignement
- organisations qui n’atteignent pas le seuil de taille fixé mais sont considérées comme critiques pour l’Etat.
Dans ce cadre, il est fort probable que votre entreprise soit concernée par cette Directive dont les obligations sont :
- Signalement des incidents importants dans les 24h auprès des autorités désignées
- Une gestion des risques qui doit s’appliquer pour couvrir les points suivants :
- Les politiques d’analyse des risques et de sécurité des systèmes d’information;
- La continuité des activités;
- La sécurité de la chaîne d’approvisionnement;
- Les pratiques de cyber-hygiène;
- L’utilisation de la cryptographie;
- La sécurité des ressources humaines;
- Les politiques de contrôle d’accès.
Pour y répondre la mise en place de l’ISO 27001 favorisera une mise en application de NIS2!
L’ISO 27001, qu’est-ce que c’est ?
Comment savoir si mon entreprise est concernée ?
L’ANSSI est en train de déployer un site qui permettra aux entreprises de savoir si elles sont assujetties au NIS2. Ce site est un site bêta qui est en cours de test et d’évolution, il sera définitivement opérationnel quand la Directive transposée dans le droit Français aura été publiée.
Consulter le site ➡️ https://monespacenis2.cyber.gouv.fr/simulateur
