NIS2 a été décidé et les pays de l'UE doivent transposer la directive dans leur législation nationale d'ici octobre 2024 - et les entreprises doivent bien sûr se préparer. NIS2 est le cadre européen pour les opérateurs d'infrastructures critiques et définit les normes minimales de cybersécurité dans l'UE.
L'Union européenne (UE) a adopté la directive NIS2, qui fait partie de la stratégie de l'UE visant à façonner l'avenir numérique de l'Europe dans le domaine de la sécurité informatique et est une extension directe de la directive NIS de 2016, qui était la première loi sur la sécurité informatique à Niveau UE.
Contexte pour NIS2
Le contexte de la nouvelle directive est un paysage de menaces dynamique qui affecte de plus en plus les réseaux d'entreprise et la reconnaissance que la première directive NIS a été mise en œuvre différemment dans les différents États membres de l'UE. Par conséquent, l'UE souhaite créer une approche plus unifiée de la protection des secteurs et des chaînes d'approvisionnement affectant les infrastructures critiques (KRITIS), car une cyberattaque à grande échelle pourrait avoir un impact énorme sur l'économie de chaque État membre, mais aussi sur le reste de l'Union. Par exemple, si la compagnie nationale de services publics d'un pays est déconnectée pendant une courte ou une longue période, les prix de l'électricité augmenteront et puisque l'électricité est négociée sur une bourse européenne, les prix augmenteront dans toute l'Europe.
À quoi s'attendre des États membres
Contrairement à la directive RGPD qui protège les données personnelles des citoyens, la directive NIS2 vise à protéger les données économiques. Dans le cadre de la nouvelle législation, les États membres doivent, entre autres, rédiger une stratégie nationale de sécurité informatique et une loi nationale. Celle-ci vise à fixer des exigences en matière de gestion des risques et de reporting par les entreprises relevant de la directive NIS2. En outre, un point de contact doit être mis en place au niveau national.
Établissements touchés
En plus des secteurs déjà inclus dans la directive NIS, le nouveau NIS2 couvre, entre autres, l'industrie alimentaire, les entreprises de fret et de navigation, les fournisseurs de télécommunications et de données, les plateformes de médias sociaux et les fournisseurs de centres de données, ainsi que les entreprises actives dans gestion des déchets et des eaux usées, ainsi que des entreprises manufacturières importantes pour l'économie du pays.
Les entreprises couvertes par la directive sont divisées en deux catégories : les entreprises essentielles (par exemple, les entreprises de télécommunications, les services publics et les banques) et les entreprises importantes (par exemple, les entreprises alimentaires et les entreprises de fret). Toutefois, les entreprises de moins de 250 salariés ou dont le chiffre d'affaires annuel est inférieur à 50 millions d'euros sont exemptées de la directive. Cependant, en raison du concept de responsabilité de la chaîne d'approvisionnement, il est prévu que les petites entreprises qui fournissent les secteurs couverts par la directive devront également se conformer à la NIS2. La directive s'étend également aux administrations publiques, mais il n'est actuellement pas clair si cela s'applique aux municipalités, par exemple.
À quoi s'attendre pour les entreprises
NIS2 impose de nouvelles exigences aux entreprises et organisations concernées. Cela comprend l'expertise et la responsabilité de la haute direction, une gestion efficace des risques, y compris l'analyse des risques et la réponse aux incidents, ainsi que le signalement et le traitement des cyberincidents. La direction est donc responsable de la conformité de l'entreprise à la directive NIS2 et peut être tenue responsable si elle ne le fait pas. L'entreprise ou l'organisation elle-même doit répondre à diverses exigences de sécurité informatique, y compris la mise en œuvre de mesures de sécurité et de normes internationales telles que ISO27001 ou le cadre NIST.
Les entreprises qui ne se conforment pas à la directive NIS2 peuvent être condamnées à une amende pouvant atteindre 2 millions d'euros ou XNUMX % du chiffre d'affaires annuel mondial. Il est important de noter que, comme pour la directive RGPD, il n'y aura pas de label ou de liste NISXNUMX auxquels les entreprises devront adhérer. Il appartient à l'organisation elle-même de prendre des mesures pour assurer le respect des réglementations en matière de protection des données. Ainsi, même si les fournisseurs de sécurité peuvent aider, c'est à l'organisation de mettre en place les rapports nécessaires.
délai de réalisation
Fin décembre 2022, la directive NIS2 a été adoptée et officialisée dans l'UE. Après cela, les États membres ont 21 mois pour convertir la directive en droit national. Cependant, cela ne signifie pas que les entreprises peuvent attendre jusque-là pour mettre en œuvre les nouvelles mesures. Après tout, les organisations concernées par la directive doivent pouvoir s'y conformer 18 mois après son adoption. Bien que cela puisse sembler long, nous savons par expérience que de nombreuses entreprises peuvent mettre beaucoup de temps à mettre en place de nouvelles mesures, procédures, etc. Il est donc important que toutes les institutions et entreprises concernées commencent immédiatement.
Conseils pour démarrer
Comme mentionné, la directive NIS2 ne fournit pas de liste de contrôle ou d'exigences minimales en matière de technologie de protection. Il décrit à quoi ressemble un niveau de protection approprié, qui peut être interprété de différentes manières. Cependant, il est raisonnable de supposer que les organisations exigeront au minimum des technologies de pare-feu et de prévention des intrusions sur leur réseau, ainsi que la sécurité des terminaux et la mise en œuvre de l'authentification multifacteur, du cryptage des données et de l'accès restreint.
Cependant, il est important de mentionner que tout ne peut pas être résolu avec la technologie. Le processus et la technologie sont tout aussi importants. Cela signifie que les entreprises doivent faire le point et créer un plan, plutôt que de simplement chercher une solution rapide. Dans cet esprit, il y a quelques premières étapes que vous pouvez prendre. Tout d'abord, il est important de vérifier si votre propre entreprise relève de la nouvelle directive. Si tel est le cas, les aspects suivants doivent être pris en compte :
- Assurez-vous que la sécurité informatique est une priorité absolue de la direction et que les gestionnaires sont conscients de leurs responsabilités. Commencez par analyser les besoins de votre entreprise et créez une feuille de route avec des objectifs clairs et un calendrier de mise en œuvre.
- Identifiez et hiérarchisez vos actifs, y compris les informations, les processus et les systèmes.
- Concevez un cadre sur lequel bâtir votre sécurité. Cela pourrait être ISO2001 ou NIST. Il est également important que vous mettiez en œuvre une gestion des risques pour vos actifs et vos processus.
- Automatisez autant de processus et de routines que possible. Par exemple, la sécurité informatique devrait toujours faire partie des nouveaux systèmes et lancements de cloud à l'avenir.
- Consolidez vos fonctions et solutions de sécurité. Cela rend l'exploitation plus facile et plus sûre et réduit, entre autres, les frais de personnel.
- Établissez un processus de signalement conforme aux exigences NIS2 et assurez-vous qu'il peut être utilisé pour atténuer les attaques et les menaces.
De nombreuses organisations ont déjà mis en œuvre certaines mesures car elles devaient répondre aux exigences initiales du NIS. Cependant, d'autres organisations doivent s'adapter à une toute nouvelle réalité. Cela peut être une tâche ardue et ardue, voire écrasante pour certains. Pour cette raison, chacun est bien avisé de traiter les exigences et les mesures possibles à un stade précoce et de consulter des experts.
Plus sur CheckPoint.com
À propos du point de contrôle Check Point Software Technologies GmbH (www.checkpoint.com/de) est l'un des principaux fournisseurs de solutions de cybersécurité pour les administrations publiques et les entreprises du monde entier. Les solutions protègent les clients contre les cyberattaques avec un taux de détection des logiciels malveillants, des rançongiciels et d'autres types d'attaques à la pointe du secteur. Check Point propose une architecture de sécurité multicouche qui protège les informations de l'entreprise sur le cloud, le réseau et les appareils mobiles, ainsi que le système de gestion de la sécurité « à un seul point de contrôle » le plus complet et le plus intuitif. Check Point protège plus de 100.000 XNUMX entreprises de toutes tailles.