BIM & Transition numérique

La Directive NIS 2 : comment se préparer ?

27 décembre 2024
NIS2

Le 17 octobre 2024, la nouvelle Directive NIS  2 est entrée en vigueur en Europe. Cette Directive européenne prévoit de nouvelles obligations pour les PME autour de la cybersécurité. Alors que l’intelligence artificielle défie les entreprises sur la gestion de leurs données, cette réglementation arrive à un moment fondamental pour la compétitivité des entreprises.

La réglementation NIS 2

La cybercriminalité recouvre l’ensemble des délits et crimes commis à l’encontre ou par le biais des systèmes d’information. Les menaces sont permanentes. Un cybercriminel cible potentiellement des grands groupes avec des données sensibles mais pour y parvenir, il passe par le chemin le plus facile pour lui : un fournisseur, un prestataire ou un acteur de la chaine de valeur moins protégé et moins sensibilisé.

La cybercriminalité est constituée avec tout un écosystème. Le chiffre d’affaires de la cybercriminalité est évalué à 4 à 5 fois celui du marché mondial de la drogue. Les cybercriminels s’attaquent par défaut aux systèmes d’information vulnérables : qu’ils soient non ou mal protégés. Le chemin d’une attaque cyber est très documenté. Les experts connaissent les différentes méthodes systématiquement utilisées.

La Directive NIS2 a augmenté le nombre d’entreprises concernées par les obligations de sécurisation des systèmes d’information, que ce soit par l’élargissement à de nouveaux secteurs (35 secteurs concernés) et de l’abaissement de la taille des entreprises (50 salariés). Au-delà des critères définis dans les textes officiels, toutes les entreprises vont devoir appliquer des obligations de base.

Les obligations et les exigences ont également été renforcées pour les entreprises directement ciblées par la directive. Ainsi, la sensibilisation des salariés pour les former aux bons usages et à la détection des problèmes est ajoutée, parce que l’humain est la faille principale des risques cyber. La sécurité des systèmes d’information doit être la seconde brique. A noter que toutes les structures collectant des données personnelles sont déjà concernées par le Règlement de protection des données (RGPD entré en vigueur le 25 mai 2018) qui contient en son sein de fortes obligations de sécurité.

Les sanctions directes prévues dans NIS 2 sont très élevées (sanction pénale pour le dirigeant, 2% du CA de l’entreprise…) mais également indirectes surtout pour une TPE-PME : perte de réputation, perte de marchés… L’écosystème va progressivement exiger que les entreprises se protègent face aux menaces cyber comme une démarche qualité. La cybersécurité est un nouveau processus. Elle ne doit pas être considérée comme une obligation fixe à remplir. Elle est mouvante et doit être intégrée aux nouvelles façons de produire.

Êtes-vous concerné par NIS2 ?

Les entités directement impliquées par NIS 2 se répartissent en deux catégories : 10 secteurs dits essentiels et 8 secteurs dits importants. Les obligations vont dépendre de cette typologie. Parmi les secteurs essentiels on retrouve ainsi l’administration publique ; au sein des secteurs importants se trouvent entre autres, les industries agroalimentaires ou de manufacture et les fournisseurs de services numériques.

Ainsi, il convient de savoir si votre entreprise est directement concernée ou pas par ces nouvelles obligations. Pour cela, il suffit de remplir un test disponible sur le site MonespaceNIS2, en cliquant ici.

A noter cependant, que si vous réalisez des prestations pour une entité concernée par NIS 2, vous êtes susceptibles d’être interrogés sur vos mesures de sécurité. En effet, toute la chaîne de valeur doit pouvoir justifier des mesures prises pour limiter les failles.

Comment se préparer à NIS 2 ?

Les obligations reposent sur trois piliers :

  1. La gestion de la sécurité des risques ;
  2. L’information sur les mesures prises ;
  3. La déclaration des incidents.

Les entreprises vont devoir évaluer leur situation et mettre en place des mesures concrètes pour assurer de leur prise en compte des risques cyber sur les plans juridiques, techniques et organisationnels.

NIS2

Au-delà des obligations légales, la Fédération Cinov encourage tous ses membres de se renseigner et de mettre en place de nouvelles mesures pour renforcer la sécurité de son système d’information afin de se prémunir d’une attaque et de ses conséquences économiques.