Demandez conseil à un expert sur… la directive relative à la sécurité des réseaux et de l'information 2 (NIS2)
Le mois d'octobre revêt une importance capitale pour les prestataires de services de sécurité. Non seulement c'est le mois de la cybersécurité, mais c'est aussi la date d'entrée en vigueur de la directive sur la sécurité des réseaux et de l'information 2, ou « NIS2 ».
Tout ce qu'il faut savoir sur la NIS2
Le mois d'octobre revêt une importance capitale pour les prestataires de services de sécurité. Non seulement c'est le mois de la cybersécurité, mais c'est aussi la date d'entrée en vigueur de la directive sur la sécurité des réseaux et de l'information 2, ou « NIS2 ».
Poursuivez votre lecture pour découvrir tout ce que vous devez savoir sur la directive NIS2, grâce aux explications deRob Nidschelm, notre responsable mondial de la sécurité opérationnelle.
Que signifie « NIS2 » ?
La directive NIS 2 constitue une mise à jour des cadres réglementaires. Elle est mise en place par l'Union européenne afin de renforcer la cybersécurité dans l'ensemble du secteur et d'assurer la résilience des infrastructures critiques. La directive NIS (2016) sert de base à cette nouvelle mise à jour, la version initiale visant à améliorer la cybersécurité des services essentiels. Les secteurs de l'énergie, de la santé, des transports et des services numériques sont tous concernés.
La directive NIS 2 vise toutefois à renforcer la capacité des organisations de ces secteurs à réagir efficacement aux cybermenaces, ce qui leur permettra de prévenir, de détecter, de gérer et de se remettre d'incidents susceptibles d'avoir des conséquences catastrophiques. Les entreprises contribueront ainsi à créer un environnement numérique plus sûr et plus résilient dans toute l'Union européenne.
La directive NIS2 a été adoptée par le Parlement européen en novembre 2022, mais son entrée en vigueur est prévue pour octobre 2024. C'est la date limite à laquelle les États membres de l'UE devront intégrer les exigences de la directive NIS2 dans leur législation nationale respective, et les organisations au sein de l'UE devront elles aussi se conformer à ces nouvelles normes.
En quoi la directive NIS2 va-t-elle modifier le paysage de la cybersécurité ?
La norme NIS2 va bouleverser le paysage de notre secteur à plusieurs égards. Passons en revue ci-dessous les changements les plus importants.
Étant donné que le nouveau cadre élargit son champ d’application réglementaire, on peut s’attendre à ce qu’il couvre davantage de secteurs et de services essentiels. La liste inclura désormais les chaînes d’approvisionnement alimentaires, la gestion des déchets et les fabricants de produits critiques. Cette mise à jour illustre parfaitement le soutien que la directive NIS2 apportera, en garantissant la protection d’un nombre encore plus grand de secteurs contre les cybermenaces.
Grâce à de nouvelles pratiques de normalisation, les procédures de signalement au sein de l'UE sont sur le point de gagner considérablement en clarté. Les organisations sont tenues de signaler aux autorités compétentes tout incident de cybersécurité majeur dans les 24 heures suivant sa détection. Cela permettra de réduire les délais d'intervention, d'assurer une aide rapide et de garantir la sécurité de l'ensemble de l'UE.
La responsabilisation joue un rôle essentiel dans la sécurité d’une organisation. Les équipes de direction seront désormais tenues de veiller au respect de la directive NIS2 et devront procéder régulièrement à des audits et à des évaluations de leur cybersécurité. Il ne s’agit pas d’une responsabilité anodine, mais elle est indispensable à la bonne santé globale d’une entreprise.
Parmi les autres changements majeurs, on peut citer la mise en place de contrôles de sécurité concernant les tiers et les fournisseurs, ainsi que le renforcement de la gestion des risques.
Quelles seraient les conséquences si la directive NIS2 n'était pas mise en œuvre ?
Le non-respect de la directive NIS2 peut avoir des conséquences importantes tant pour les organisations que pour les secteurs visés par celle-ci :
- Risque accru de cyberattaques
- Sanctions en cas de non-respect
- Instabilité opérationnelle
- Atteinte à la réputation
- Vulnérabilités de la chaîne d'approvisionnement
- Perte d'avantage concurrentiel
Sans les mesures de cybersécurité obligatoires prévues par la directive NIS2, les organisations sont plus vulnérables aux cyberattaques, ce qui pourrait entraîner de graves perturbations opérationnelles, des pertes financières ou compromis . Si une telle situation venait à se produire, une organisation s’exposerait à de lourdes amendes et sanctions. Cela pourrait facilement entraîner la perte de sa chaîne d’approvisionnement et de ses fournisseurs, ainsi qu’une atteinte à sa réputation auprès du public.
Comment les entreprises doivent-elles s'y préparer ?
Il existe plusieurs mesures proactives que votre organisation peut mettre en œuvre pour se préparer à la directive NIS2.
Une évaluation complète de vos pratiques actuelles en matière de cybersécurité permettra d’identifier les lacunes en matière de gestion des risques, de réponse aux incidents et de capacités de résilience. Cela jette les bases nécessaires pour évaluer et surveiller les pratiques de cybersécurité des fournisseurs et prestataires de services tiers, ainsi que pour élaborer vos protocoles de signalement des incidents. Il est important de mettre en place des procédures claires de signalement des incidents, car cela garantit une notification rapide aux autorités et une réponse efficace aux incidents.
Effectuez régulièrement des tests, procédez aux mises à jour nécessaires et évaluez votre niveau de préparation à l'aide d'exercices. Être préparé à un incident de cybersécurité, c'est déjà la moitié du chemin parcouru en matière de reprise après sinistre.
Les problèmes que le programme NIS2 contribuera à résoudre
La cybersécurité n’est pas la première chose à laquelle on pense lorsqu’on crée une entreprise, mais elle est souvent à l’origine de problèmes majeurs. En vous conformant au règlement NIS2, vous vous assurez de respecter un niveau de sécurité de base pour tous les services essentiels, et que ces services sont en adéquation avec le reste de l’UE. Cela permet à divers secteurs de rester à jour et connectés. Les entreprises communiquent en permanence entre elles, tiennent les autorités informées des menaces et créent un réseau de soutien à l’échelle du continent. Vous ferez partie d’un réseau d’organisations efficace et réactif.
En quoi Getronics peut-il vous aider ?
Getronics propose une large gamme de services qui vous aideront à respecter, voire à dépasser, les exigences de la directive NIS2. Nous pouvons vous conseiller sur la mise en place de votre stratégie actuelle en matière de cybersécurité, identifier ses points faibles et vous proposer des solutions pour la renforcer. Getronics simplifie l'élaboration de votre stratégie en vous proposant non seulement des solutions conformes à la directive NIS2, mais aussi des services de renseignement sur les menaces informatiques (CTI) qui permettent de collecter, d'analyser et d'exploiter des informations exploitables.
Les menaces émergentes sont détectées avant même qu'elles ne deviennent un problème, ce qui vous laisse davantage de temps pour vous y préparer.
Getronics dispose d'un centre d'opérations de sécurité (SOC) dédié, qui propose des services continus de surveillance, de détection et d'intervention. Nous contribuons à limiter l'impact des incidents cybernétiques.
Le point fort de notre offre réside dans le fait que nous nous tenons constamment informés des autres normes en vigueur à l'échelle mondiale. Consultez notre article « Demandez à un expert » consacré à la DORA: vous découvrirez comment nous pouvons intégrer ces deux réglementations, afin de vous aider à vous mettre en totale conformité avec l'ensemble des réglementations en vigueur.
Contactez nos experts pour en savoir plus sur la manière de vous conformer à la norme NIS2 et sur la façon dont Getronics peut vous aider à aller au-delà de ses exigences.
