Dans quelques mois, de nombreuses entreprises devront mettre en œuvre la directive NIS2. La nouvelle directive européenne exige la mise en œuvre de mesures strictes pour garantir la cybersécurité.
À première vue, cette période peut paraître assez longue, mais la mise en place d’une structure de sécurité adéquate ne se fait pas du jour au lendemain. NTT Ltd., l'une des principales sociétés d'infrastructures et de services informatiques, dissipe les idées fausses entourant la directive NIS2 et montre la meilleure façon de la mettre en œuvre. La directive NIS2 est une législation européenne sur la sécurité des réseaux et de l'information qui est entrée en vigueur le 16 janvier 2023 et doit être transposée dans le droit national par les États membres d'ici le 17 octobre 2024. En Allemagne, il existe déjà un projet de loi du ministère fédéral de l'Intérieur sur la loi de mise en œuvre NIS 2 (NIS2UmsuCG). La nouvelle directive augmentera considérablement le nombre d'entreprises concernées dans ce pays : entre 30.000 40.000 et 2 XNUMX entreprises seront soumises aux exigences plus strictes du NISXNUMX. Cependant, beaucoup d’entre eux n’en sont probablement même pas conscients, même si de lourdes sanctions sont prévues en cas de non-respect.
Questions pressantes
Est-ce que je relève de la directive NIS2 ? Les autorités ne disent pas à une entreprise si les nouvelles exigences s’appliquent ou non à elle. Les entreprises doivent plutôt déterminer elles-mêmes leur « affect » sur la base des critères définis. En principe, toute personne classée comme exploitant d’infrastructures critiques relève de cette directive. Il s'agit notamment des installations, systèmes et systèmes dont la fonctionnalité est importante pour la société, la sécurité du pays et l'économie et dont la défaillance entraînerait des perturbations importantes. Selon l'Office fédéral de la protection de la population, il s'agit d'entreprises actives dans les secteurs de l'approvisionnement en énergie et en eau, des télécommunications et des technologies de l'information, de l'approvisionnement alimentaire, du transport et de la logistique, de la finance et de la santé. Dans le même temps, la directive NIS2 affecte également les organisations de la chaîne d'approvisionnement qui fournissent des services ou des produits liés à des secteurs critiques. Cela signifie que le champ d’application va bien au-delà des entreprises clés connues jusqu’à présent. À l'avenir, les entreprises et organisations comptant 50 salariés ou plus et un chiffre d'affaires annuel d'au moins dix millions d'euros seront enregistrées dans les secteurs respectifs. Plus précisément, NIS2 fait la distinction entre les installations « importantes » et « essentielles ». Ces derniers jouent un rôle crucial en raison de leur part de marché dans le secteur concerné.
Règlements de la directive NIS2
L'UE a renforcé ses exigences dans trois domaines clés : les mesures de surveillance et les amendes, la coopération et la coopération, ainsi que la gestion des risques et la résilience. Les exigences croissantes en matière de gestion des risques et de résilience signifient que les organisations doivent mettre en œuvre à la fois des mesures de prévention et de minimisation des dommages. Cela inclut des domaines tels que la sécurité des réseaux, la gestion des risques, la cybersécurité dans les chaînes d'approvisionnement, le contrôle d'accès et le cryptage. NIS2 prévoit une hygiène informatique de base et le projet de loi stipule la détection des attaques pour les installations critiques. Les entreprises doivent également réfléchir à la manière d’assurer la continuité de leurs activités après une cyberattaque. Cela comprend la reprise du système, les procédures d'urgence et la mise en place d'une organisation de crise. En outre, un premier rapport doit être reçu par les autorités responsables à titre d'alerte précoce dans les 24 heures suivant la prise de conscience de l'incident de sécurité. Un rapport détaillé doit suivre dans les 72 heures, décrivant les soi-disant indicateurs de compromission. Les entreprises doivent d'abord utiliser une approche descendante pour déterminer un état actuel global du niveau de maturité de leur sécurité informatique, puis mettre en œuvre les mesures techniques et organisationnelles nécessaires. Afin de se conformer à la directive NIS2, il est également recommandé de mettre en œuvre un système de gestion de la sécurité de l'information (ISMS) selon la norme ISO 27001. Dans le même temps, un centre d'opérations de sécurité (SOC) a du sens. Cependant, l’exploitation d’un SOC est très coûteuse, c’est pourquoi l’externaliser vers un prestataire externe sous forme de services managés est une bonne solution.
Que se passe-t-il si vous ne vous conformez pas ?
Même si seules les installations essentielles sont auditées, quiconque ignore les exigences s’expose à des sanctions importantes en cas d’incident de sécurité. Pour les entreprises classées dans la catégorie « essentielles », les amendes peuvent aller jusqu'à dix millions d'euros ou deux pour cent du chiffre d'affaires mondial annuel, le montant le plus élevé étant retenu. Pour les institutions « importantes », l’amende maximale est de sept millions d’euros, soit 1,4 pour cent du chiffre d’affaires annuel global. Le projet de loi du ministère fédéral de l'Intérieur prévoit également que les directeurs généraux et autres organes de direction des entreprises sont responsables, sur leur patrimoine privé, du respect des mesures de gestion des risques. Vous vous exposez également à une amende de deux pour cent de votre chiffre d’affaires annuel global. NIS2 constitue donc un risque de non-conformité que les responsables devraient prendre très au sérieux. De plus, une solution de sécurité médiocre, voire inexistante, coûte finalement beaucoup plus cher, même si l'investissement dans des mesures appropriées peut paraître élevé à certaines entreprises au départ. Comme pour d’autres lignes directrices, il existe également une forte probabilité que les entreprises qui n’ont pas mis en œuvre les mesures requises ne soient pas prises en compte dans les appels d’offres publics.
« La conformité NIS2 n'est pas un produit que vous pouvez simplement acheter et mettre en œuvre. Au contraire : les entreprises doivent comprendre que la mise en œuvre de la nouvelle directive européenne est un projet véritablement vaste et à long terme, avec des impacts dans des domaines très divers. Dans le même temps, la conformité informatique constitue depuis longtemps une question stratégique clé pour les entreprises », explique Bernhard Kretschmer, vice-président des services et de la cybersécurité chez NTT Ltd. «Mais la pratique montre que de nombreuses entreprises n'ont pas encore pris les mesures requises. Cela pourrait devenir une pierre d’achoppement pour la mise en œuvre en temps opportun de NIS2. Car très peu d’entreprises sont capables de répondre aux exigences requises avec leur propre équipe informatique.
En savoir plus sur NTT
À propos de NTT
Faisant partie de NTT DATA, un fournisseur de services informatiques de 30 milliards de dollars et une société d'infrastructures et de services informatiques NTT Ltd. Avec ses technologies, 65 pour cent du Fortune Global 500 et plus de 75 pour cent du Fortune Global 100. La société jette les bases de l'écosystème réseau Edge-to-Cloud des organisations, en simplifiant les charges de travail multi-cloud complexes et en innovant à la pointe. les environnements informatiques où convergent réseau, cloud et applications. NTT propose des infrastructures sur mesure et garantit des meilleures pratiques cohérentes en matière de conception et d'exploitation dans ses centres de données sécurisés, évolutifs et adaptables. Sur la voie d'un avenir défini par logiciel, NTT accompagne ses clients avec des services d'infrastructure basés sur une plateforme.
Articles liés au sujet