Qu’est-ce que la directive NIS 2 et comment s’y conformer ?
Présentation de la directive 2.0 de l’Union européenne sur la sécurité des réseaux et de l’information
Pour répondre à la menace croissante des cyberattaques et au besoin qui s’impose de renforcer la sécurité, le Conseil de l’Union européenne (UE) et le Parlement européen ont adopté en décembre 2022 la directive « Network and Information Security 2.0 », également connue sous le nom de directive NIS 2. La directive NIS 2 constitue un réexamen et une extension des obligations de la précédente directive en matière de cybersécurité, s’appliquant à tout État membre de l’UE. L’un des principaux objectifs de cette réglementation est de contribuer « au bon fonctionnement de son économie et de sa société ».
La directive NIS a été initialement promulguée en 2016. Cette FAQ actualisée vise à vous informer sur les obligations, nouvelles et renforcées, que la directive NIS 2 impose aux entreprises opérant sur le marché européen puis, dans un second temps, de vous montrer comment les solutions Sophos vous aident à répondre à ces nouvelles exigences.
En quoi consiste la directive NIS 2 ?
La directive NIS 2 s’inscrit dans le prolongement de la directive NIS 1, adoptée en 2016, qui a donné lieu aux premiers efforts de normalisation en matière de cybersécurité dans les systèmes juridiques des États membres de l’UE. En décembre 2022, le Conseil de l’Union européenne et le Parlement européens ont adopté la directive NIS 2, qui révise et étend les exigences en matière de cybersécurité dans l’ensemble de l’Union.
S’agissant d’une directive et non d’un règlement formel, la directive NIS 2 n’est pas directement applicable dans les États membres tant qu’elle n’a pas été transposée dans le droit national. Les législateurs nationaux sont donc tenus de modifier leurs lois nationales sur la cybersécurité avant la date limite fixée par les députés européens, à savoir le 17 octobre 2024.
Quel est l’objectif de la directive NIS 2 ?
La directive NIS 2 vise à consolider les exigences en matière de sécurité dans l’UE en étendant leur champ d’application à un plus grand nombre de secteurs et d’entités et en intégrant des mesures telles que l’analyse des risques et les politiques de sécurité des systèmes d’information, le traitement des incidents et la sécurité de la supply chain. Elle prévoit également de rationaliser les obligations de déclaration.
Quand la directive NIS 2 entrera-t-elle en vigueur ?
Les organisations devront se conformer à la nouvelle réglementation européenne, qui est plus stricte en matière de cybersécurité, d’ici le 18 octobre 2024, sous peine de lourdes sanctions. Pour obtenir de l’aide, nous vous invitons à consulter la fiche de conformité NIS 2 de Sophos, qui explique comment les solutions Sophos offrent des outils efficaces pour accompagner les entreprises dans la prise en compte de la directive NIS 2.
Quelles sont les sanctions en cas de non-respect de la directive NIS 2 ?
Conformément à la directive NIS 2, les États membres sont tenus d’appliquer de lourdes sanctions en cas de non-respect des règles : 10 millions d’euros ou 2 % du chiffre d’affaires mondial (le montant le plus élevé étant retenu) pour les entités essentielles et 7 millions d’euros ou 1,4 % du chiffre d’affaires mondial (le montant le plus élevé étant retenu) pour les entités importantes.
La directive NIS 2 impose des obligations directes aux organes de direction en ce qui concerne la mise en œuvre et la supervision de la conformité de leur entreprise avec la législation. En cas de non-respect, les cadres supérieurs de l’entité, y compris les cadres de niveau C, sont susceptibles de se voir imposer une interdiction temporaire d’exercer des responsabilités d’encadrement.
Quelle couverture de cybersécurité est exigée par la directive NIS 2 ?
Plus précisément, la directive NIS 2 exige que des mesures spécifiques soient adoptées dans le cadre d’une stratégie de gestion active des risques visant à sécuriser la supply chain, même au-delà des entreprises non européennes qui entretiennent des relations commerciales avec des entreprises de l’UE tenues de respecter la directive NIS 2.
Pour consulter la liste des mesures spécifiques de gestion des risques, consultez le livre blanc Sophos NIS 2, page 5.
Qui est tenu d’adopter la directive NIS 2 ?
La directive NIS 2 étend le champ d’application de la directive NIS 1 à 18 secteurs publics et privés supplémentaires. Parmi eux figurent des secteurs hautement critiques tels que l’énergie, les transports et les services d’administration publique.
Le champ d’application de la directive NIS 2 s’étend principalement aux entreprises qui emploient au moins 50 personnes ou qui réalisent un chiffre d’affaires annuel ou un bilan annuel supérieur à 10 millions d’euros. Dans certaines exceptions, la directive NIS 2 s’applique, quelle que soit la taille de l’entité ; c’est notamment le cas pour tous les fournisseurs de services de communications électroniques accessibles au public.
Pour découvrir la liste complète des secteurs, des classifications d’entités et des exigences supplémentaires, consultez le livre blanc Sophos NIS 2, pages 3-4.
Comment puis-je me conformer à la norme NIS 2 avec Sophos ?
Sophos dispose d’un portefeuille complet de solutions et de services de cybersécurité pour aider les entreprises à se mettre en conformité avec la norme NIS 2 et à le rester. Sophos met son expertise et son soutien au service de votre démarche de mise en conformité en assurant un contrôle continu de la conformité et en sécurisant vos données et vos équipements. Contacter un expert en sécurité Sophos pour en savoir plus sur la réduction des risques.
La carte de référence Sophos NIS 2 présente les exigences de la directive NIS 2 et explique comment les solutions de sécurité Sophos peuvent aider les entreprises à se conformer à ses exigences en matière d’évaluation et de formation à la gestion des risques, de traitement des incidents et de mesures techniques, opérationnelles et organisationnelles requises pour gérer les risques de cybersécurité aux niveaux obligatoires.
Comment puis-je m’assurer de rester en conformité avec la norme NIS 2 à l’avenir ?
La directive NIS 2 et d’autres réglementations en matière de cybersécurité requièrent plus qu’une évaluation ponctuelle de l’état actuel de votre sécurité. Vous devez tenir un registre des preuves attestant d’une formation et d’une hygiène régulières en matière de cybersécurité pour chaque aspect de votre environnement informatique, des contrôles d’accès à la sécurité du réseau et des appareils, en passant par les données elles-mêmes, qu’elles soient statiques ou en cours d’utilisation.
Pour rester en conformité, les entreprises doivent mettre en place un processus de surveillance continue de leurs environnements informatiques, y compris les actifs dans le cloud. Dans cette démarche, les outils d’automatisation et de sécurité peuvent vous aider en recherchant en permanence les menaces qui pèsent sur le réseau et en vous avertissant immédiatement lorsque votre environnement n’est plus conforme.
Un fournisseur de Cybersécurité-as-a-service (CSaaS) peut soutenir cette approche de conformité continue, parce qu’il dispose de l’expertise et des ressources dédiées pour contrôler votre état de conformité 24 heures sur 24 et 7 jours sur 7. Ce modèle aidera votre équipe de sécurité interne à ne plus se contenter de réagir aux demandes d’audit du NIS 2, mais à adopter une approche plus proactive. La mise en conformité continue signifie que vous pouvez répondre en toute confiance à tout examen minutieux de la sécurité de vos systèmes et à toute demande concernant vos politiques de confidentialité.
Faut-il envisager une évaluation de la conformité à la directive NIS 2 ?
De nombreuses entreprises ont tout intérêt à faire appel à un consultant pour évaluer la conformité de leurs systèmes à la norme NIS 2. Une évaluation NIS 2 permet de bénéficier d’une vision globale de la posture de cybersécurité de votre organisation, en offrant des perspectives détaillées en cas de besoin. Elle vous permet de dresser un inventaire complet de toutes les faiblesses potentielles de votre environnement informatique actuel et d’identifier les points à améliorer.
Comment un fournisseur de Cybersécurité as-a-service (CSaaS) peut-il m’aider à me conformer à la norme NIS 2 ?
Établir un partenariat avec un fournisseur de services de cybersécurité dans le cloud permet d’alléger le fardeau des entreprises qui manquent de ressources internes pour rester en permanence en conformité avec la directive NIS 2. Par exemple, un fournisseur de services MDR (Managed Detection and Response) déploie des experts en sécurité pour étudier et évaluer les risques de sécurité potentiels dans l’ensemble de votre environnement, 24 heures sur 24, 7 jours sur 7, 365 jours par an. Le partenaire MDR idéal exploitera des informations de pointe sur les menaces pour définir votre niveau de risque et privilégier une réponse rapide et efficace, en vue de neutraliser les menaces et d’assurer la protection des données personnelles. Téléchargez la fiche de conformité NIS 2 de Sophos pour en savoir plus sur la façon dont la sécurité managée peut répondre aux exigences de sécurité requises pour assurer la conformité réglementaire de votre entreprise.
FAQ rapide sur la directive NIS 2
Présentation de la directive NIS 2
1. En quoi consiste la directive NIS 2 ? NIS 2 est une directive de l’UE visant à améliorer la cybersécurité dans les États membres en fixant des exigences plus strictes en matière de sécurité et de notification des incidents.
2. Quelles sont les principales composantes de la directive NIS 2 ? Parmi les principales composantes, citons des exigences plus strictes en matière de sécurité, un champ d’application étendu et des rapports d’incidents plus étoffés.
3. Qu’est-ce qui a poussé la Commission européenne à présenter une nouvelle directive NIS ? La Commission a présenté cette nouvelle directive afin de mieux répondre à l’évolution rapide du paysage de la cybersécurité et aux nouvelles menaces. Voir la diapositive du webinaire Sophos NIS 2, Les menaces : (05:18), qui aborde ces points supplémentaires.
- Dépendance accrue à l’égard de l’infrastructure numérique : la pandémie de COVID-19 a entraîné une dépendance accrue à l’égard des systèmes informatiques, tant pour les particuliers que pour les entreprises, y compris celles qui ne sont pas traditionnellement considérées comme des entreprises numériques. Cette évolution a souligné l’importance du renforcement de la sécurité numérique.
- Augmentation des cyber-attaques : les cyberattaques, en particulier les ransomwares, se sont multipliées de manière spectaculaire. Désormais, ces attaques se produisent à « l’échelle industrielle » et s’inscrivent dans le cadre d’activités criminelles lucratives, qui génèrent des centaines de millions d’euros.
- Attaques importantes de la supply chain : l’impact des attaques majeures de la supply chain a mis en évidence les vulnérabilités des chaînes d’approvisionnement mondiales interconnectées, soulignant la nécessité de mettre en place des stratégies de cybersécurité globales.
- Menaces géopolitiques : l’invasion de l’Ukraine par la Russie en février de l’année dernière a mis en évidence la gravité des cybermenaces et la nécessité d’une action à l’échelle de l’État pour faire face à ces risques.
- Insuffisance des mesures précédentes : malgré les améliorations résultant de la directive initiale, les normes de cybersécurité diffèrent encore considérablement d’un État membre à l’autre et la perception des cybermenaces n’est pas la même dans tous les États membres.
4. Quels aspects de la précédente directive NIS 1 sont repris dans la directive NIS 2 ? Des éléments essentiels tels que la gestion des risques et la notification des incidents ont été conservés et améliorés.
5. Quels sont les principaux objectifs de la directive NIS 2 ? Cette norme a pour principal objectif de renforcer la résilience en matière de cybersécurité, d’améliorer le signalement des incidents et d’encourager la coopération entre les États membres. Voir la diapositive du webinaire Sophos NIS 2, L’objectif (07:54), qui aborde ces points supplémentaires.
- Protection des infrastructures critiques : faire en sorte que les infrastructures et les organisations critiques de l’UE soient protégées contre les cyberattaques.
- Amélioration des réglementations existantes : renforcer les exigences établies par la directive initiale en instaurant des mesures plus strictes et des lignes directrices plus complètes.
- Atteindre des niveaux de sécurité uniformes : atteindre un niveau de cybersécurité plus ambitieux et plus uniforme dans tous les États membres de l’Union européenne.
6. Quelles sont les principales différences entre les normes NIS 1 et NIS 2 ? La directive NIS 2 instaure des exigences plus strictes en matière de sécurité, élargit la portée des secteurs visés et impose des obligations plus rigoureuses en matière de notification des incidents par rapport à la directive initiale.
Mise en œuvre et application de la directive NIS 2
7. Quand la directive NIS 2 entrera-t-elle en vigueur ? Elle devrait entrer en vigueur en octobre 2024, avec un calendrier de mise en œuvre échelonné.
8. Comment la directive NIS 2 sera-t-elle appliquée dans les différents États membres de l’UE ? Ce sont les autorités nationales qui seront chargées de superviser et de faire respecter la législation, avec une coordination au niveau de l’UE.
9. Comment les entreprises doivent-elles se préparer pour la directive NIS 2 ? Pour les organisations, la première chose à faire est de procéder à une analyse des insuffisances, de renforcer leurs mesures de cybersécurité et de mettre en place des systèmes de surveillance continue et de création de rapports.
10. Faut-il envisager une évaluation de la conformité à la directive NIS 2 ? De nombreuses entreprises ont avantage à faire appel à un consultant pour évaluer la conformité de leurs systèmes à la norme NIS 2 et identifier les éventuelles améliorations à apporter à leurs cyberdéfenses.
11. Comment les organisations peuvent-elles évaluer leur niveau de conformité à la directive NIS 2 ? Les organisations peuvent utiliser des outils d’évaluation de la conformité, des méthodologies et des consultants pour évaluer leur posture de sécurité.
12. Quels sont les éléments constitutifs d’un plan de réponse aux incidents efficace dans le cadre de la directive NIS 2 ? Pour être efficace, ce plan doit comporter des rôles définis, des protocoles de communication et des tests réguliers.
13. Quel est l’impact de la directive NIS 2 sur les petites et moyennes entreprises (PME) ? Les PME devront se conformer aux dispositions de la directive, ce qui peut impliquer des investissements et des ressources supplémentaires en matière de cybersécurité si vous remplissez les conditions suivantes.
Pour les entreprises des secteurs concernés par le NIS 2, les seuils suivants s’appliquent :
- Entreprises de taille moyenne : 50 à 249 salariés, avec un chiffre d’affaires inférieur à 50 millions d’euros et/ou un bilan inférieur à 43 millions d’euros.
- Grandes entreprises : 250 employés ou plus, avec un chiffre d’affaires d’au moins 50 millions d’euros et/ou un bilan d’au moins 43 millions d’euros.
14. À qui s’applique la directive NIS 2 ; quels sont les secteurs concernés ? La directive NIS 2 concerne un large éventail de secteurs, répartis en deux groupes, les secteurs essentiels et les secteurs importants, comme suit :
Si votre entreprise relève de l’un de ces secteurs, qu’elle emploie au moins 50 personnes et qu’elle réalise un chiffre d’affaires annuel d’au moins 10 millions d’euros, elle est tenue de se conformer aux exigences de la norme NIS 2. Voir la diapositive du webinaire Sophos NIS 2 consacrée aux secteurs essentiels et importants.
Secteurs essentiels
| Secteurs importants
|
Quel est le périmètre d’action de la directive NIS 2 ?
15. Quel État membre sera compétent pour les entités relevant de la directive NIS 2 ? En règle générale, la juridiction est déterminée par la localisation de l’établissement principal de l’entité au sein de l’UE.
16. Qu’est-ce que l’article 21 et les mesures de cybersécurité requises par la directive NIS 2 ? L’article 21 de la directive NIS 2 vise à renforcer les normes et les sanctions en matière de cybersécurité tout en consolidant la cyber-résilience. Il contient de nombreuses informations détaillées sur les exigences de la directive, telles que la mise en œuvre de mesures de gestion des risques, de protocoles de réponse aux incidents et d’audits de sécurité réguliers. Voir la diapositive du webinaire Sophos NIS 2, Normes de sécurité (14:25), qui aborde ces points supplémentaires.
- « Cyber-hygiène » de base : couvre les pratiques de base telles que la gestion des mots de passe, la protection des administrateurs système, les mises à jour logicielles et les sauvegardes.
- Gestion des vulnérabilités : veille à ce que les éventuelles vulnérabilités au sein des systèmes soient identifiées et atténuées.
- Sécurité de la supply chain : se concentre sur la sécurisation de la supply chain contre les cybermenaces.
- Normes de chiffrement et de cryptographie : définit des normes pour le chiffrement et la cryptographie afin de protéger les données sensibles.
- Gestion des actifs : concerne la gestion et la protection des actifs numériques.
- Contrôle d’accès et sécurité « Zero Trust » : met en œuvre des mesures strictes de contrôle d’accès et un modèle de sécurité « zéro confiance ».
- Processus d’analyse des risques : exige la mise en place d’un processus d’analyse des risques capable d’identifier les mesures de sécurité nécessaires.
- Réponse aux incidents et notification : oblige à mettre en place des procédures adéquates en matière de réponse aux incidents et de notification.
- Continuité des activités : souligne la nécessité de mettre en place des plans de gestion de crise et de reprise après sinistre dans le but d’assurer la continuité de l’activité.
17. Quels types d’incidents doivent être signalés en vertu de la directive NIS 2 ? Les incidents qui perturbent de manière significative les services ou compromettent la sécurité doivent être signalés.
Que faut-il faire pour se conformer à la directive NIS 2 ?
18. Quelles sont les exigences en matière de formation et de sensibilisation dans le cadre de la directive NIS 2 ? Tous les employés doivent suivre régulièrement des programmes de formation et de sensibilisation à la cybersécurité.
19. Quelles sont les ressources disponibles pour aider les organisations à se conformer à la directive NIS 2 ? Il existe des documents d’orientation, des cadres de bonnes pratiques, des services de conseil et des services de soutien pour aider les organisations.
20. Comment la directive NIS 2 s’intègre-t-elle dans les cadres de gouvernance informatique existants ? La directive NIS 2 s’aligne sur des cadres tels que COBIT et ITIL afin de garantir une gouvernance informatique complète.
21. Quelles sont les exigences en matière de rapports prévues par la directive NIS 2 ? Les entités doivent signaler les incidents importants dans les 24 heures et fournir des mises à jour sur les efforts d’atténuation mis en place.
22. Quel rôle jouent les fournisseurs de services tiers dans la mise en conformité avec la directive NIS 2 ? Les éditeurs et les fournisseurs sont tenus de respecter les mêmes normes de sécurité que leurs clients.
Quels sont les risques ou pénalités liés à la directive NIS 2 ?
23. Que se passe-t-il si nous ne prenons pas en compte la directive NIS 2 ? Tout manquement peut donner lieu à de lourdes sanctions, y compris des amendes et d’éventuelles restrictions opérationnelles.
24. Quelles sont les conséquences financières du non-respect de la directive NIS 2 ? La non-conformité peut entraîner de lourdes amendes et des coûts opérationnels accrus en raison de violations de la sécurité.
Qui coordonne la directive NIS 2 ?
25. De quelle manière les nouvelles règles vont-elles favoriser la coopération ? La directive promeut le partage d’informations et les exercices conjoints entre les États membres.
26. Cette initiative est-elle en phase avec les autres politiques de l’UE ? La directive NIS 2 est en accord avec les politiques plus larges de l’UE en matière de cybersécurité et de marché numérique, telles que le règlement général sur la protection des données (RGPD).
27. Comment la Commission européenne envisage-t-elle d’améliorer la gestion des cybercrises ? Parmi les stratégies retenues figurent la mise en place de cadres de réponse coordonnés et la promotion de la coopération transfrontalière.
Quels sont les aspects stratégiques ?
28. La mise en conformité avec la directive NIS 2 présente-t-elle des avantages ? La mise en conformité renforce la sécurité, améliore la réputation et stimule la compétitivité tout en évitant de subir des conséquences financières en cas de non-conformité.
29. Comment un fournisseur de CSaaS peut-il faciliter la mise en conformité avec la directive NIS 2 ? Établir un partenariat avec une société de sécurité tierce qui fournit la cybersécurité en tant que service cloud réduit la charge de surveillance continue, de détection et de réponse pour les entreprises qui manquent de ressources internes pour maintenir une conformité continue au NIS 2.
30. Comment la directive NIS 2 répond-elle aux menaces émergentes en matière de cybersécurité ? La directive prévoit des dispositions pour s’adapter aux menaces nouvelles et évolutives en matière de cybersécurité.
Comment mettre en œuvre la directive NIS 2 ?
31. Quelles seront les prochaines étapes de la mise en œuvre de la directive ? Parmi les étapes à suivre, citons la compréhension de la transposition nationale pour votre pays, l’engagement des parties prenantes et la mise en place de mécanismes d’application. Vous trouverez une liste complète des produits Sophos disponibles qui permettent aux opérateurs de se mettre en conformité dans le livre blanc sur la norme NIS 2, disponible en téléchargement.
32. De quelle manière la technologie peut-elle être utilisée par les organisations pour répondre aux exigences de la directive NIS 2 ? L’utilisation d’outils de sécurité avancés et l’automatisation peuvent faciliter le respect des exigences de conformité.
Ressources sur la directive NIS 2
Préparez votre mise en conformité avec NIS 2
En savoir plus sur les exigences de NIS 2
Télécharger la fiche de conformité NIS 2
Renforcez votre cybersécurité : comprendre la directive NIS 2