ISGroup Conseil en Cybersécurité

Aperçu de la directive NIS 2

La directive NIS 2 établit des mesures pour un niveau commun élevé de cybersécurité dans toute l’Union européenne. Cette directive vise à améliorer le fonctionnement du marché intérieur en élevant les normes de cybersécurité. Si vous souhaitez comprendre quel est l’objectif principal de la directive NIS 2, vous trouverez une analyse approfondie dans notre base de connaissances.

[Callforaction-NIS2]

Champ d’application de la directive

La directive NIS 2 s’applique à un large éventail d’entités, classées comme essentielles ou importantes. Celles-ci incluent, sans s’y limiter :

  • Entités essentielles : Spécifiées à l’annexe I, elles opèrent dans des secteurs cruciaux pour l’économie et la société. Elles dépassent le seuil des moyennes entreprises. Exemples :
  • Fournisseurs d’électricité
  • Fournisseurs d’eau
  • Hôpitaux
  • Fournisseurs de services numériques tels que les places de marché en ligne et les moteurs de recherche.
  • Entités importantes : Définies aux annexes I et II, elles opèrent dans des secteurs considérés comme moins critiques que les entités essentielles. Il est important de noter que cette catégorie comprend les entités identifiées comme critiques conformément à la directive (UE) 2022/2557. Exemples :
  • Services postaux et de messagerie
  • Entreprises de transformation et de distribution alimentaire
  • Organismes de recherche

Le champ d’application de la directive s’étend aux entités fournissant des services d’enregistrement de noms de domaine, quelle que soit leur taille. De plus, les États membres ont la discrétion d’appliquer la directive NIS 2 aux :

  • Entités de l’administration publique au niveau local
  • Institutions éducatives, en particulier celles engagées dans des activités de recherche critiques.

Principales dispositions de la directive NIS 2

  • Stratégies nationales de cybersécurité : Les États membres sont tenus d’élaborer des stratégies nationales de cybersécurité. Ces stratégies définissent les priorités et les objectifs visant à améliorer la cybersécurité au sein de l’État membre, ainsi que le cadre de gouvernance pour atteindre ces objectifs.
  • Signalement des incidents : Les entités essentielles et importantes sont tenues de signaler les incidents de cybersécurité significatifs à leur CSIRT (Computer Security Incident Response Team) désigné ou à l’autorité compétente. La directive détaille une approche en plusieurs étapes pour le signalement des incidents :
  • Alerte préliminaire : Les entités doivent fournir une alerte préliminaire, généralement dans les 24 heures suivant le moment où elles prennent connaissance d’un incident significatif.
  • Notification de l’incident : Une notification plus détaillée de l’incident, incluant une évaluation initiale, est généralement requise dans les 72 heures.
  • Rapport final : Un rapport final comprenant une analyse détaillée et les mesures d’atténuation doit être soumis dans un délai d’un mois après la notification de l’incident.
  • Mesures de gestion des risques : Les entités essentielles et importantes sont tenues de mettre en œuvre des mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées pour gérer les risques de cybersécurité. Pour les organisations qui doivent structurer ou vérifier leur parcours de mise en conformité, le support à la conformité NIS2 d’ISGroup accompagne l’analyse des écarts et la mise en œuvre des mesures requises. Ces mesures incluent, sans s’y limiter :
  • Analyse des risques et politiques de sécurité des systèmes d’information
  • Gestion des incidents
  • Continuité des activités et gestion de crise
  • Sécurité de la chaîne d’approvisionnement
  • Sécurité des ressources humaines
  • Mesures de surveillance : La directive NIS 2 accorde aux autorités compétentes le pouvoir de superviser les entités essentielles et importantes pour assurer la conformité. Pour les entités essentielles, ces mesures de surveillance incluent :
  • Inspections sur site
  • Audits de sécurité
  • Émission d’instructions contraignantes
  • Mesures d’exécution : En cas de non-conformité, la directive NIS 2 prévoit une série de mesures d’exécution, notamment :
  • Sanctions administratives
  • Réprimandes publiques
  • Suspension temporaire des activités ou retrait des droits

Relation avec les lois sectorielles spécifiques

La directive NIS 2 reconnaît que des lois sectorielles spécifiques de l’UE peuvent imposer des obligations de cybersécurité. Si ces obligations ont un effet au moins équivalent à celles prévues par la directive NIS 2, les dispositions correspondantes de la directive, y compris celles relatives à la surveillance et à l’exécution, ne s’appliquent pas à ces entités.

Par exemple :

La directive NIS 2 ne s’applique pas aux entités financières relevant du règlement (UE) 2022/2554. En effet, ce règlement contient des dispositions équivalentes, voire plus complètes, en matière de résilience opérationnelle numérique dans le secteur financier. Toutefois, les États membres sont toujours tenus d’inclure les entités financières lorsqu’ils examinent les incidents de cybersécurité à grande échelle et élaborent des plans de réponse nationaux.

Pour les organisations qui entrent dans le périmètre NIS 2 et qui doivent encore vérifier leur position par rapport à la liste des sujets NIS 2 gérée par l’ACN, il est utile de consulter également les indications opérationnelles sur la désignation du référent CSIRT, l’une des obligations requises par la directive.

[Callforaction-NIS2-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *