Contactez-nous
    Espace Client

    La Directive Network and Information Security (NIS)

    22 avril 2024

    7 minutes

    NISV2

     


    • C’est quoi NIS 2 ?

      La directive Network and Information Security (NIS) est une initiative de l'Union Européenne adoptée en novembre 2022 dans le but de renforcer la cybersécurité des systèmes d'information au sein de ses États membres. Cette directive fait suite à la première NIS et cible principalement les opérateurs de services essentiels (OSE) ainsi que les fournisseurs de services numériques (FSN). Son objectif principal est de protéger les infrastructures critiques contre les diverses menaces cybernétiques qui peuvent les viser.

    • Quels sont les secteurs concernés ?

      La directive NIS 2 s'applique à 18 secteurs différents répartis en deux catégories d'entités distinctes : les entités essentielles (EE) et les entités importantes (EI).

      NIS 2 élargit la portée de la directive en ajoutant cinq nouveaux secteurs d'activité et deux sous-secteurs pour les entités essentielles.

      De plus, NIS 2 a reclassé les fournisseurs de services numériques en tant qu'entités importantes, et a intégré six nouveaux secteurs d'activité, notamment les services postaux et d'expédition, la gestion des déchets, les produits chimiques, les denrées alimentaires, la recherche et la fabrication.

    • Quelle est la différence entre les entités importantes et essentielles ?

      L'Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI) a établi des règles pour distinguer les entreprises considérées comme essentielles ou importantes.

      Les entités essentielles (EE) regroupent les entreprises de taille moyenne à grande opérant dans des secteurs d'activité hautement critiques. Pour être classée en tant qu'entité essentielle, une entreprise doit dépasser un certain seuil, tel que compter plus de 250 employés, avoir un chiffre d'affaires (CA) supérieur ou égal à 50 millions d'euros, ou un bilan annuel (BA) supérieur ou égal à 43 millions d'euros.

      De plus, les prestataires de services de confiance qualifiés, les registres de noms de domaine de premier niveau, les fournisseurs de services DNS et les fournisseurs de réseaux publics sont également considérés comme des entités essentielles.

      D'autre part, les entités importantes (EI) englobent les entreprises de taille moyenne ou plus, avec un chiffre d'affaires compris entre 10 et 50 millions d'euros, ou un bilan annuel compris entre 10 et 43 millions d'euros.

      En résumé, le schéma synthétique ci-dessous récapitule les secteurs concernés ainsi que les critères nécessaires pour identifier une entité comme essentielle ou importante :

    Article 1 - shémas 1 - classification des secteurs

     

    • Quelle sont les règles de la directive nis 2 et quels changements apportés ?

       

    Les domaines et les règles de la directive NIS 2 n’ont pas changé mais NIS 2 renforce le niveau d’exigence de sécurité pour que les règles répondent parfaitement aux objectifs.

    Article 1 - shémas 2 - Les règles de la directive NIS

     

    • Quelles sont les nouvelles obligations à respecter ?

    Les entités essentielles (EE) et les entités importantes (EI) ont plusieurs obligations à respecter pour se conformer à la directive NIS 2. Elles comprennent notamment :

    Renforcer la résilience opérationnelle : Les entreprises doivent mettre en place des mesures pour renforcer leur capacité à faire face aux incidents de sécurité et à maintenir leurs opérations en cas de cyberattaques.

    Définir une approche par risque : Cela implique l'identification, l'analyse, l'évaluation et le traitement des risques liés à la cybersécurité. Les entreprises doivent adopter une approche proactive pour anticiper et atténuer les menaces potentielles.

    Désigner un interlocuteur pour assurer la coopération avec les autorités : Les entités doivent nommer un point de contact chargé de collaborer avec les autorités compétentes, telles que l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) et la CNIL (Commission Nationale de l'Informatique et des Libertés).

    Signaler les incidents de sécurité : Les entreprises sont tenues de signaler tout incident de sécurité à l'ANSSI dans les 24 heures suivant sa découverte. De plus, elles doivent fournir un rapport d'incident détaillé dans un délai d'un mois.

    Notifier la CNIL en cas de violation de données à caractère personnel : En vertu du RGPD (Règlement Général sur la Protection des Données), les entités doivent informer la CNIL de toute violation, perte ou incident lié aux données personnelles dans les meilleurs délais afin de garantir la protection de la vie privée des individus

    • Quelles sont les conséquences en cas de non-respect de NIS 2 ?

    Les entités essentielles (EI) sont soumises à des sanctions financières en cas de non-respect des obligations énoncées dans la directive NIS 2. Ces sanctions sont proportionnelles à la gravité de l'infraction et peuvent aller jusqu'à 10 millions d'euros ou 2% du chiffre d'affaires annuel de l'entreprise, selon le montant le plus élevé.

    De manière similaire, les entités importantes sont également sujettes à des sanctions en cas de non-respect des exigences de la directive NIS 2. Les sanctions financières pour les entités importantes peuvent aller jusqu'à 7 millions d'euros ou 1,4% du chiffre d'affaires annuel de l'entreprise, selon le montant le plus élevé.

    Ces sanctions, bien que légèrement moins sévères que celles imposées aux entités essentielles, visent également à assurer la conformité et à promouvoir une culture de cybersécurité robuste au sein des entreprises opérant dans des secteurs stratégiques.

    • Comment se mettre en conformité avec la directive NIS 2 ? 

    Les entités essentielles (EE) démontrent souvent un solide niveau de maturité en matière de cybersécurité, tant sur le plan organisationnel que technique. Par exemple, elles ont généralement une équipe ou un département dédié à la sécurité des systèmes d'information. Cette équipe est chargée de mettre en place et de maintenir à jour les politiques de sécurité de l'entreprise, ainsi que d’assurer le maintien en condition opérationnel les dispositifs de gestion des risques, la gestion des incidents, des vulnérabilités et des accès. De plus, ces entreprises veillent à ce que les équipements réseau et sécurité soient correctement configurés.

    La nouvelle version de la directive intègre de nouveaux secteurs pour les entités essentielles (EE) et surtout pour les entités importantes (EI). Si ces entreprises n’ont pas mis en place des mesures de sécurité conformément à NIS 2, il est impératif de mettre en place une feuille de route et de suivre une approche pour se mettre en conformité avec NIS 2 dans les délais impartis. Pour cela, Interdata propose une méthodologie d’accompagnement NIS 2 incluant des services d’ingénierie et de consulting en réseau et sécurité. Cette approche répond parfaitement aux règles et est alignée avec les domaines de NIS 2.

    Article 1 - shémas 3 - Approche Interdata

     

    Article de Seifeddin SASSI / Consultant Cybersécurité - Direction avant‑vente, audit et conseil

    Cet article fait partie des catégories

    Actualités Cybersécurité Articles
    INT20001-image-support-service-manage

    Rejoignez-nous

    Découvrir

    DÉCOUVRIR LES ARTICLES DE LA MÊME CATÉGORIE

    8 octobre 2024

    3 minutes

    Comment augmenter votre réactivité face aux incidents et diminuer leur temps detrue

    Le contexte : des incidents de plus en plus fréquents et complexes Les sociétés d'aujourd'hui sont confrontées [...]
    En savoir plus

    19 septembre 2024

    4 minutes

    Sécurité du réseau : un enjeu stratégique à ne pas négliger

    En savoir plus

    28 août 2024

    7 minutes

    Valorisation des données : quel impact sur les performances IT ?

    En savoir plus

    Inscrivez-vous à la newsletter