La Directive NIS 2 arrive bientôt

Directive NIS 2 cybersécurité RGPD, SYSGUARD

Depuis la fin de la période COVID, les cyberattaques s’intensifient d’années en années. Face à cette situation, L’Union Européenne a estimé qu’il fallait réagir. Chose faite avec la directive NIS 2.

Cette nouvelle directive instaure un cadre règlementaire renforcé, pour la sécurité des réseaux et des systèmes d’information. Elle vise à harmoniser les pratiques de cybersécurité à travers l’Union européenne. De plus, elle élargit son périmètre d’application à un éventail plus large de secteurs d’activité.

L’ANSSI se mobilise pour préparer la transposition. Elle dialogue avec les organisations regroupant les parties prenantes. Dans un esprit de co-construction, elle cherche à s’assurer de la pertinence et de la soutenabilité des exigences de la directive. Ainsi, cette démarche permettra d’obtenir un niveau d’anticipation face aux risques cybers. Pour de nombreuses entreprises, ce sera une nouveauté. Son accompagnement nécessitera des actions de sensibilisation et la mise à disposition de solutions adéquates.

LES ORGANISATIONS CONCERNÉES PAR NIS 2

A l’origine, la directive NIS 1 concerne les domaines d’activités suivants : banque, santé, TIC, gestion de l’eau, transports, énergies, infrastructure des marchés bancaires et financiers. Soit un grand nombre d’organisations.

Avec la directive NIS 2, la commission européenne élargit le périmètre des entreprises concernées en distinguant 2 catégories :

  • Les entreprises essentielles.
  • Les entreprises importantes.

Cette classification repose sur des critères relatifs à la taille, l’impact économique et social, et le rôle des entreprises au sein des infrastructures de l’UE.

Désormais en plus des domaines d’activités de NIS 1 sont concernés : les fournisseurs numériques, la gestion des déchets, la recherche, l’agroalimentaire, la chimie, la gestion des eaux usées, les administrations publiques, l’espace, la fabrication (produits manufacturés) et les services postaux et d’expédition.

Soit un grand nombre d’entreprises. Selon le cabinet PWC, cela représente en France, 10000 entités dont des Entreprises de Taille Intermédiaire aux groupes du CAC40.

QUELLES SERONT LES OBLIGATIONS IMPOSÉES PAR NIS2

Une fois la directive transposée, les organes de direction des entités devront mettre en place, et suivre rigoureusement toutes les mesures de cybersécurité. En cas de manquement, elles pourront être tenues responsable et sanctionnées sur le volet pénal (Sans oublier le volet responsabilité civile en cas par exemple de violations de données à caractère personnel).

Ainsi, les dirigeants devront acquérir des connaissances et compétences suffisantes (Certes il n’est pas concevable de demander à un dirigeant d’avoir les compétences d’un administrateur réseau). Ils seront en mesure d’identifier les éventuels risques, se questionner sur leur sécurité informatique actuelle et son efficacité. Également ils pourront anticiper l’impact sur les services fournis par leur organisation.

En cas d’incidents, les entités répondant aux critère de la directive seront tenues de signaler à l’ANSSI, instantanément, tout incident ayant un impact significatif sur la prestation de leurs services (En principe dans les 72H qui suivent la découverte de l’incident). De plus, l’incident sera notifié et documenté auprès de l’ANSSI ainsi que la CNIL en cas de violation de données. Un rapport final devra être transmis à L’ANSSI, un mois après l’incident dans lequel devra être mentionné l’origine de l’incident, son impact (Aussi bien dans l’État membre, que dans l’Union Européenne et les pays hors Union) vis-à-vis des publics concernés, les mesures correctrices apportées.

COMMENT SE PRÉPARER

Toutes les organisations concernées par la directive NIS2, sont tenues d’adopter une approche proactive plutôt que réactive en matière de gestion des risques, en mettant en place des politiques de sécurité documentées pour l’ensemble des collaborateurs.

Ces politiques devront comprendre :

  • Une cartographie de tous les risques.
  • Une description des solutions mises en place (Avec des process à la pointe de la technologie).
  • Un plan de reprise d’activité (PRA).
  • Un plan de Continuité d’activité (PCA).
  • La communication de crise adéquate en interne comme en externe (clients, sous-traitants etc.).
  • Une liste des personnes pouvant être impactée par tels types de risques et le plan de communication en cas d’incident.
  • Être en conformité avec le RGPD : avoir des registres à jour (Registre de traitements, de violations de données…)
  • Faire régulièrement des analyses d’impact quand cela est obligatoire selon les dispositions de la CNIL ou recommandé.
  • Auditer et faire régulièrement des crash tests afin de contrôler la fiabilité ainsi que l’efficacité des systèmes de protection.
  • Documenter toutes les procédures.
  • Former les collaborateurs à la cybersécurité, au RGPD.

Cela signifie que l’on passe de la réparation à l’anticipation et la prévention. D’un point vue comptable les entreprises concernées devront prévoir un budget cybersécurité important pour garantir un état de sécurité informatique fiable aussi bien pour les systèmes que les datas.

L’ANSSI aura des pouvoirs analogues à ceux de la CNIL en matière de RGPD. C’est-à-dire, qu’elle pourra contrôler des organisations, mener des perquisitions aléatoires, de réaliser des audits de sécurité (ad-hoc). Elle pourra également demander certaines informations et preuves de conformité.

Conclusions

Pour conclure, nous traversons une période incroyable avec la guerre aux portes de l’Europe, sans oublier les éventualités dans le reste du Monde (Taïwan, Inde -Chine, Inde – Pakistan, les 2 Corées, Le Moyen Orient…). Les cyberattaques sont de plus en plus nombreuses et de plus en plus sophistiquées. Alors quel que soit votre domaine d’activité, autant anticiper pour sa pérennité.

SYSGUARD vous accompagne pour la mise en sécurité de votre informatique en auditant votre système, en apportant des solutions concrètes avec monitoring. De plus, nous vous aidons pour votre conformité quant au RGPD.

Un besoin, contactez-nous

Sources :

PWC

Village de la justice

https://cyber.gouv.fr

0 commentaires

Ecrit par Stéphane Rondelot

Juriste de formation, je suis expert en droit et en communication. Depuis plus de 20 ans, je forme les entreprises et les personnes en phase de création de société sur le droit des sociétés, l'économie et la communication. Passionné de nouvelles technologies, je me suis intéressé très tôt au droit de l'internet et bien entendu au RGPD.

Publié le 14 juin 2024