Qu'est-ce que le NIS2 et quel est son impact sur votre organisation ?

Découvrez notre guide complet sur la nouvelle législation européenne en matière de cybersécurité et apprenez comment préparer votre organisation au NIS2.

Écrit par Jill - Écrit sur: 12 février 2024

post-thumb

À l’ère numérique, des termes comme cyberattaque, phishing, malware et ransomware sont plus que des mots à la mode. Ils représentent des menaces réelles qui ont un impact sur notre vie quotidienne. Alors que notre société devient de plus en plus dépendante de l’infrastructure numérique, le défi de la protéger n’a jamais été aussi grand. C’est pourquoi l’Europe a mis en place la directive NIS2, une initiative puissante pour renforcer la cybersécurité.

La nouvelle législation sur la cybersécurité redéfinit les règles de base en termes de gestion des risques et d’exigences en matière de rapports, élargit considérablement le champ d’application et introduit des sanctions plus strictes en cas de non-conformité. À l’approche de la date butoir du 17 octobre 2024 - date à laquelle les pays de l’UE doivent intégrer le NIS2 dans leur législation nationale - des centaines de milliers d’organisations devraient se préparer à une révision majeure de leurs mesures de cybersécurité. Quelles seront les conséquences pour votre entreprise ? Et comment devez-vous vous préparer aux changements à venir ?

Dans cet article, nous aborderons tout ce que vous devez savoir sur la nouvelle législation et explorerons ses implications pour votre entreprise. Nous aborderons les questions clés suivantes :

  1. Qu’est-ce que le NIS2 ?
  2. Quelles sont les nouveautés ?
  3. Quels sont les secteurs et les entreprises concernés ?
  4. Quelles sont les exigences de conformité ?
  5. Quelles sont les sanctions en place ?
  6. Comment préparer votre organisation à NIS2 ?

1. Qu’est-ce que la directive NIS2 ?

La directive NIS2 (directive 2022/0383 relative à la sécurité des réseaux et de l’information) est la pierre angulaire de la législation européenne en matière de cybersécurité. Elle vise à renforcer la sécurité des réseaux et des systèmes d’information en Europe. Elle impose aux opérateurs d’infrastructures critiques et aux fournisseurs de services essentiels de mettre en œuvre les mesures de sécurité nécessaires et de signaler les incidents aux autorités.

La directive NIS2 est une mise à jour de la directive NIS1 originale de 2016, et elle est entrée en vigueur en janvier 2023. Les États membres de l’UE ont jusqu’au 17 octobre 2024 pour transposer la directive dans leur législation nationale. Cela signifie que toutes les organisations entrant dans son champ d’application seront légalement tenues de se conformer à ses exigences d’ici la fin de l’année 2024. Au total, le NIS2 concerne plus de 160 000 organisations à travers l’Europe.


2. Quelles sont les nouveautés ?

Ces dernières années, la sécurité de notre société a été de plus en plus mise à l’épreuve par des événements tels que le COVID-19, la guerre en Ukraine et les cybermenaces émergentes. Parallèlement, notre dépendance à l’égard des réseaux et des systèmes d’information s’est accrue, rendant nécessaire une mise à jour de la législation existante afin d’améliorer la résilience numérique et économique des États membres de l’UE.

Par rapport à la NIS1, le champ d’application de la législation a été considérablement élargi. En outre, les mesures de sécurité obligatoires et le signalement des incidents ont été renforcés, et les conséquences de la non-conformité sont beaucoup plus strictes.


NIS1 versus NIS2 what's new



3. Quels sont les secteurs et les entreprises concernés ?

Votre organisation relève-t-elle du champ d’application de la directive NIS2 ? C’est ici que les choses se compliquent un peu, mais soyez patients, nous allons vous guider pas à pas.

Tout d’abord, examinons les 18 secteurs auxquels s’applique la directive NIS2. La directive les divise en deux catégories : « hautement critiques » et « autres critiques ». La distinction se situe principalement au niveau des mesures de contrôle et des sanctions ; nous y reviendrons plus tard. Les organisations des deux catégories doivent toutefois répondre aux mêmes exigences.


NIS2 overview sectors



18 secteurs en NIS2

Secteurs hautement critiques

  • L’énergie
  • Les transports
  • Le secteur bancaire
  • Les infrastructures des marchés financiers
  • La santé
  • L’eau potable
  • Les eaux usées
  • L’infrastructure numérique
  • La gestion des services TIC
  • L’administration publique
  • L’espace

Autres secteurs critiques

  • Les services postaux et d’expédition
  • La gestion des déchets
  • La fabrication, production et distribution de produits chimiques
  • La production, transformation et distribution des denrées alimentaires
  • La fabrication (de dispositifs médicaux et de dispositifs médicaux de diagnostic in vitro; de produits informatiques, électroniques et optiques; d’équipements électriques; de machines et équipements, véhicules automobiles, remorques et semi-remorques; d’autres matériels de transport)
  • Les fournisseurs numériques
  • La recherche

Si votre organisation fait partie de l’une de ces catégories, il se peut que vous soyez concerné par le NIS2.

Êtes-vous toujours avec nous ? Pour compliquer encore un peu plus les choses, le NIS2 définit deux catégories d’organisations qui doivent se conformer à la législation : les entités « essentielles » et les entités « importantes ».


2 catégories d’entités dans le NIS2

Entités essentielles

  • Les organisations des secteurs « hautement critiques » employant plus de 250 personnes ou ayant un chiffre d’affaires annuel supérieur à 50 millions d’euros ou un bilan supérieur à 43 millions d’euros
  • Les prestataires de services de confiance, les registres de noms de domaine de premier niveau et les prestataires de services DNS, quelle que soit leur taille
  • Fournisseurs de réseaux ou de services de communications électroniques publics employant de 50 à 250 personnes ou réalisant un chiffre d’affaires supérieur à 10 millions d’euros
  • Services gouvernementaux (niveau central)
  • Toute autre organisation importante qui est le seul fournisseur du service dans le pays, ou dont l’interruption du service pourrait avoir un impact considérable

Entités importantes

  • Organisations des « autres secteurs critiques » employant plus de 50 personnes ou réalisant un chiffre d’affaires annuel de plus de 10 millions d’euros.
  • Organisations des secteurs « hautement critiques » employant 50 à 250 personnes ou ayant un chiffre d’affaires annuel de 10 à 50 millions d’euros ou un bilan de 10 à 43 millions d’euros.

Les petites entreprises employant moins de 50 personnes et réalisant un chiffre d’affaires inférieur à 10 millions d’euros ne sont pas automatiquement exclues. Les États membres peuvent les considérer comme « critiques » ou « importantes » si leurs services jouent un rôle clé dans la société ou si l’interruption de leurs services aurait des conséquences importantes pour la santé ou la sécurité publiques.

Les entités essentielles peuvent faire l’objet d’un contrôle proactif de leur conformité au NIS2, tandis que les entités importantes ne font l’objet d’une enquête qu’à la suite d’une plainte.



Infographic NIS2: Is your organization going to be affected by this?


Que se passe-t-il si votre organisation se trouve en dehors de l’UE ?

Si votre organisation n’est pas basée dans l’UE, vous pouvez penser que la directive NIS2 ne s’applique pas à vous. Malheureusement, si votre organisation entre dans l’une des catégories susmentionnées et fournit des services au sein de l’UE, vous êtes tenu de vous conformer à la directive NIS2.

La directive NIS2 définit des lignes directrices spécifiques pour les organisations non européennes. Les entités non européennes qui fournissent des services au sein de l’UE sont tenues de désigner un représentant dans un État membre de l’UE où les services sont fournis. Leis person will have to oversee the organization’s compliance with NIS2.


Que se passe-t-il si votre organisation n’entre pas dans le champ d’application ?

Si votre organisation ne fait pas partie du champ d’application, vous n’aurez pas à vous soucier des amendes ou de l’adhésion immédiate aux réglementations. Cependant, il y a de fortes chances que vous soyez tout de même concerné par le NIS2.

Par exemple, si vous fournissez des services ou des produits à une entité qui entre dans le champ d’application du NIS2, ce client peut exiger que vous atteigniez un certain niveau de cybersécurité. Dans ce cas, vous ne serez pas contrôlé par les autorités chargées de superviser la conformité au NIS2, mais par votre client.

Il peut être judicieux d’envisager d’aligner vos mesures de sécurité sur la directive NIS2. Cette approche facilite la collaboration avec d’autres entreprises, et vous pouvez garantir à vos clients que vous êtes conforme et digne de confiance.


4. Quelles sont les exigences de conformité ?

Votre organisation entre donc dans le champ d’application de la directive NIS2. Qu’est-ce que cela signifie pour vous et quelles sont les prochaines étapes ?


1. Enregistrement

D’ici le 17 avril 2025, les États membres doivent identifier toutes les entités essentielles et importantes qui entrent dans le champ d’application de la directive. Les détails de la procédure d’enregistrement seront précisés une fois que la directive aura été transposée en droit national. Au minimum, l’enregistrement comprendra les informations suivantes :

  • Nom, adresse et numéro d’enregistrement
  • Secteur d’activité
  • Coordonnées de l’organisation
  • États membres dans lesquels l’organisation opère
  • Adresses IP attribuées

2. Obligations

Cela nous amène à la question principale : quelles sont les mesures et les obligations pour les organisations dans le cadre du champ d’application ? Le NIS2 divise les exigences en quatre domaines principaux :

  • Gestion des risques : les entreprises doivent prendre des mesures pour minimiser les cyber-risques, telles que la gestion des incidents, le renforcement de la sécurité de la chaîne d’approvisionnement, l’amélioration de la sécurité du réseau, un meilleur contrôle de l’accès et le cryptage.
  • Responsabilité : la direction doit être formée et doit superviser les mesures de cybersécurité de l’organisation et traiter les risques ; les violations peuvent entraîner des sanctions.
  • Signalement : les organisations doivent mettre en place des processus permettant de signaler rapidement les incidents de sécurité importants.
  • Continuité : les organisations doivent planifier la manière dont elles assureront la continuité de leurs activités en cas de cyberincidents.

3. 10 Mesures de sécurité minimales

Outre ces quatre domaines principaux, le NIS2 prévoit dix mesures de sécurité de base pour les entités essentielles et importantes :

  • Analyse des risques et sécurité des systèmes d’information
  • Évaluation des mesures de sécurité
  • Politiques et procédures pour l’utilisation de la cryptographie et, le cas échéant, du chiffrement
  • un plan de traitement des incidents de sécurité
  • Sécurité dans l’acquisition, le développement et la maintenance des réseaux et des systèmes d’information, y compris le signalement des vulnérabilités
  • la formation à la cybersécurité et les pratiques de base en matière de cyberhygiène
  • des politiques d’accès et des procédures de sécurité pour les employés ayant accès à des données sensibles ou importantes
  • un plan de continuité des activités pendant et après un incident de sécurité
  • l’utilisation d’une authentification multifactorielle ou de solutions d’authentification continue, et le cryptage des communications
  • la sécurité des chaînes d’approvisionnement et des relations avec les fournisseurs

4. Nouvelles exigences en matière de rapports

Espérons que vous n’aurez pas besoin de cette section, mais si un incident de sécurité se produit, vous devrez en informer les autorités compétentes. Voici les nouvelles lignes directrices :

  • Dans les 24 heures : une « alerte rapide » à l’équipe de réponse aux incidents de sécurité informatique (CSIRT) ou à l’autorité nationale.
  • Dans les 72 heures : une notification d’incident avec une première évaluation de l’incident, de sa gravité et de son impact.
  • Dans un délai d’un mois : un rapport final contenant une description détaillée de l’incident, y compris sa gravité, son impact, sa cause et les mesures prises.

5. Quelles sont les sanctions en place ?

Comme nous l’avons vu précédemment, la directive NIS2 définit deux catégories d’organisations entrant dans son champ d’application. Ne vous inquiétez pas si vous avez du mal à distinguer la forêt des arbres : voici un bref récapitulatif.

  • Les entités essentielles sont de grandes organisations (>250 employés ou >50 millions d’euros de bénéfices) dans des secteurs tels que les transports, l’énergie, l’eau et l’espace.
  • Les entités importantes sont des organisations de taille moyenne (>50 employés ou >10 millions d’euros de bénéfices) dans les secteurs susmentionnés ; ET des organisations de grande et moyenne taille dans des secteurs tels que l’alimentation, les services numériques et la recherche.

Les exigences pour les deux catégories sont les mêmes ; la distinction réside dans les mesures de surveillance et les sanctions, comme le montrent les tableaux ci-dessous.

Sanctions

Entités essentielles Entités importantes
Amendes:
10 millions d’euros ou 2 % du revenu annuel global		 Amendes:
7 millions d’euros ou 1,4 % du revenu annuel global
Sanctions non monétaires:
- Ordonnances de conformité
- Instructions de reliure
- Ordres de mise en œuvre des audits de sécurité
- Ordres de notification de menaces aux clients des entités
- Sanctions pénales pour les dirigeants		 Sanctions non monétaires:
- Ordonnances de conformité
- Instructions de reliure
- Ordres de mise en œuvre des audits de sécurité
- Ordres de notification de menaces aux clients des entités
- Sanctions pénales pour les dirigeants

! Les États membres peuvent prévoir que les amendes ne s’appliquent pas aux organismes publics. Toutefois, les autres sanctions s’appliqueront.


Mesures de surveillance

Entités essentielles Entités importantes
Contrôles actifs:
audits externes, inspections, demandes de documentation		 Supervision ex post:
des mesures sont prises lorsque les autorités reçoivent des preuves de non-conformité

6. Comment préparer votre organisation à NIS2 ?

Quelle est la prochaine étape pour votre organisation ?

Si vous ne faites pas partie du champ d’application, vous pouvez respirer tranquillement. Mais vous n’êtes pas complètement tiré d’affaire. Dressez la liste des entreprises avec lesquelles vous travaillez et qui devront se conformer au NIS2, et réfléchissez à ce que cela signifie pour votre organisation. Réfléchissez également à la possibilité d’appliquer les nouvelles mesures de sécurité et à la manière dont vous pouvez le faire, car vous en tirerez des avantages au bout du compte.

Si vous entrez dans le champ d’application, il est temps de vous mettre au travail. Nous vous recommandons de suivre les étapes suivantes pour commencer à préparer NIS2 :

1. Procéder à une évaluation des risques. Quels sont les risques potentiels pour la sécurité ? Quelle est la probabilité qu’ils se produisent ? Quel est l’impact potentiel ? Quelles sont les mesures déjà en place pour limiter les risques ?

2. Mettez à jour vos politiques de sécurité. Sur la base de l’évaluation des risques, mettez à jour les politiques de sécurité existantes ou élaborez-en de nouvelles. Assurez-vous de couvrir les 10 exigences de base de NIS2.

3. Mettez en œuvre des mesures de sécurité. Les options comprennent : une sécurité réseau renforcée, des contrôles d’accès plus stricts, le cryptage et la sécurisation de la chaîne d’approvisionnement. Un système numérique de gestion des visiteurs peut vous aider considérablement : il vous permet de contrôler la gestion des visiteurs, de stocker les données personnelles des visiteurs en toute sécurité et de simplifier les rapports d’incidents en conservant des enregistrements précis de toutes les activités des visiteurs.

4. Élaborer des procédures pour détecter, surveiller, résoudre et signaler les incidents.

5. Former la direction et le personnel. Quels sont les membres du personnel qui exercent des fonctions critiques au sein de l’organisation ? Sensibilisez-les aux risques et aux mesures de sécurité.

6. Préparez-vous aux audits et aux inspections. Conservez des dossiers clairs et complets sur vos politiques de sécurité, vos évaluations des risques, vos rapports d’incidents et vos activités de mise en conformité.


Conclusion

La directive NIS2 représente une étape importante dans la politique de l’Union européenne visant à renforcer les normes de cybersécurité à l’intérieur de ses frontières. Pour les organisations relevant de cette réglementation, se conformer à la directive NIS2 n’est pas seulement une obligation légale, mais aussi une opportunité de renforcer leur cybersécurité, de protéger leurs données et d’instaurer la confiance avec leurs clients et partenaires.

La directive exige une approche proactive, et l’adoption d’un système de gestion numérique des visiteurs joue un rôle clé dans ce contexte. Un tel système permet de se conformer aux normes NIS2 de plusieurs façons. Il améliore le contrôle d’accès et protège les données personnelles des visiteurs contre les cybermenaces. En outre, le système tient des registres précis des activités des visiteurs, ce qui simplifie l’évaluation des risques potentiels, renforce la sécurité de la chaîne d’approvisionnement et facilite la gestion des incidents et l’établissement de rapports en cas d’incident de sécurité.

Découvrez l’impact transformateur de Vizito sur la sécurité de votre centre de données. Êtes-vous prêt à accepter le changement ? Commencez par un essai gratuit de 14 jours de Vizito et constatez par vous-même comment il améliore la sécurité de votre organisation.

Inscrivez-vous pour recevoir les nouveaux articles

Partager cet article

Articles de blog récents

post-thumb

Mar 27, 2025

Une école sûre : ces mesures feront la différence en 2025
post-thumb

Feb 27, 2025

Les 9 compétences incontournables du Facility Manager en 2025
post-thumb

Feb 13, 2025

12 compétences dont chaque réceptionniste aura besoin en 2025
Essayer Vizito gratuitement