De nombreuses entreprises sont concernées par la nouvelle édition de la directive européenne NIS2. Cela augmente les exigences minimales en matière de cybersécurité des infrastructures critiques. Les entreprises doivent être bien préparées.
Les cyberattaques contre les infrastructures critiques sont particulièrement dangereuses. L’UE a donc défini des exigences minimales en matière de cybersécurité dans la directive sur la sécurité des réseaux et de l’information (NIS) en 2016. Celle-ci est désormais remplacée par une nouvelle édition. La directive NIS16 est en vigueur depuis le 2023 janvier 2 – et les États membres de l'UE ont encore jusqu'en octobre 2024 pour la transposer dans leur droit national. En Allemagne, cela se fait par le biais de la loi de mise en œuvre NIS2, qui est actuellement disponible sous forme de deuxième version. Des modifications de la loi sur la sécurité informatique et de l'ordonnance KRITIS sont à prévoir. De nombreuses entreprises se demandent désormais ce que NIS2 signifie pour elles.
Que doivent savoir les responsables de la sécurité dès maintenant et comment peuvent-ils se préparer au mieux ? Dirk Wocke, Compliance Manager et délégué à la protection des données chez Indevis, apporte des réponses aux questions les plus importantes.
Qui est concerné par NIS2 ?
La différence la plus importante par rapport à l’ancienne législation réside dans l’efficacité nettement accrue. Sept nouveaux secteurs KRITIS sont ajoutés, portant leur nombre de onze à dix-huit. Si jusqu'à présent seules les grandes organisations de l'environnement direct de KRITIS ont été concernées, NIS2 s'applique également aux entreprises privées, même celles comptant 50 salariés ou un chiffre d'affaires annuel de 10 millions d'euros. Certaines entreprises, quelle que soit leur taille, tombent sous le coup de la directive car elles font partie des « entités essentielles » particulièrement importantes pour le bien commun.
Ce qui est également nouveau, c'est que les entreprises concernées doivent vérifier et assurer la cybersécurité de leurs fournisseurs. Ceci est important car les chaînes d’approvisionnement deviennent de plus en plus complexes et même la défaillance d’un petit composant peut entraîner des goulots d’étranglement critiques. Le piratage de Solarwinds, par exemple, a montré à quel point les attaques contre la chaîne d’approvisionnement peuvent être dangereuses. Dans l’ensemble, NIS2 impacte un large éventail d’entreprises, dont beaucoup ne se rendent compte qu’au deuxième coup d’œil qu’elles sont concernées.
Quelles innovations apporte NIS2 ?
La nouvelle directive augmente les exigences minimales en matière de cybersécurité et responsabilise les managers. Vous êtes responsable de vous assurer que les normes prescrites sont respectées. Si une cyberattaque se produit, des exigences strictes en matière de reporting s'appliquent, similaires à celles du RGPD. Les entreprises doivent alors signaler l’incident au BSI dans un certain délai. Le législateur veut ainsi empêcher les personnes concernées de dissimuler une cyberattaque afin de protéger leur réputation. NIS2 affine également la jurisprudence européenne et approfondit la surveillance et la coopération au sein de l’UE entre les autorités et les opérateurs. Par exemple, des équipes nationales d’intervention informatique en cas d’urgence devraient être mises en place pour coopérer au-delà des frontières et échanger des informations. Parallèlement, une base de données sur les vulnérabilités doit être créée au niveau européen.
Que doivent faire maintenant les entreprises concernées ?
NIS2 prescrit des mesures de sécurité techniques et organisationnelles de pointe. Cela comprend, par exemple, une méthodologie d’évaluation des cyber-risques et une stratégie pour assurer la continuité des services et des activités. Des mesures pour prévenir, détecter et gérer les cyberincidents sont également obligatoires. Fondamentalement, il s'agit de créer un système de gestion de la sécurité de l'information (ISMS). Celui-ci définit les règles, processus, méthodes, outils et responsabilités pour gérer et contrôler la cybersécurité dans l'entreprise.
Par exemple, le BSI Grundschutz et la norme ISO/IEC 27001 offrent des conseils. La plupart des entreprises n'ont jusqu'à présent établi que les pièces du puzzle d'un SMSI. Tout d’abord, il est important d’identifier les lacunes, puis de les combler étape par étape. De nombreux rôles doivent être remplis et des politiques définies. Tout cela est généralement plus complexe que prévu et prend du temps. Il est donc conseillé de s'attaquer au problème le plus rapidement possible. Un prestataire de services externe qui a de l’expérience dans l’introduction et le développement d’un SMSI peut fournir une assistance sous forme de conseils et d’assistance.
Que se passe-t-il lorsque les entreprises ignorent les exigences NIS2 ?
À l’instar du RGPD, le législateur renforce ses exigences en imposant des amendes élevées en cas de violation. Les sanctions et les mesures coercitives seront considérablement étendues, jusqu'à des sanctions maximales d'au moins sept ou dix millions d'euros, selon le secteur. Afin de vérifier le respect des exigences NIS2, le BSI peut réaliser des audits ou les confier à des tiers. Si des lacunes sont découvertes, les entreprises concernées se voient accorder un délai dans lequel elles doivent apporter des améliorations. Enfin et surtout, les directeurs généraux sont personnellement responsables si l'enquête médico-légale sur un cyberincident révèle que l'entreprise n'a pas respecté les exigences de sécurité.
NIS2 comme une opportunité
Quiconque a déjà été affecté à la zone KRITIS a probablement déjà mis en œuvre bon nombre des exigences de NIS2. Pour les nouvelles entreprises, l’effort est plus important. Il est donc conseillé de commencer le plus tôt possible. Même si NIS2 demande du travail au départ, l’investissement en vaut la peine. Compte tenu de la situation de menace croissante, il est essentiel de renforcer la cybersécurité.
Dans la pratique, les responsables de la sécurité ont souvent du mal à débloquer un budget pour les mesures de sécurité. Il est donc nécessaire de faire pression sur les exigences légales. NIS2 place désormais la question de la cybersécurité au plus haut niveau de gestion, ouvrant ainsi la voie au changement. À l’avenir, les responsables de la sécurité devraient avoir plus de facilité à convaincre les PDG d’investir davantage dans la cybersécurité. Afin d'atteindre la conformité NIS2 aussi rapidement et efficacement que possible, nous vous recommandons de travailler avec un fournisseur de services de sécurité gérés expérimenté. Il peut aider à revoir la stratégie de sécurité, à mettre en place un SMSI et à sélectionner et exploiter une technologie de sécurité appropriée.
Plus sur Indevis.de
À propos d'Indivis
Certifiée selon la norme internationale ISO/IEC 27001, indevis GmbH est l'un des principaux fournisseurs de services de sécurité gérés (MSSP) en Allemagne. L'entreprise établit des normes de sécurité dans le domaine des technologies de l'information depuis plus de 20 ans et propose à ses clients de toutes tailles et de tous secteurs des solutions de sécurité informatique adaptées aux réseaux, aux centres de données et au cloud.