ISGroup Conseil en Cybersécurité

Quelles sont les exigences spécifiques qu’une entreprise doit remplir pour être considérée comme un « sujet critique » selon la directive européenne sur la cybersécurité ?

Les sources ne contiennent pas d’informations sur les exigences spécifiques qu’une entreprise doit remplir pour être considérée comme une “entité critique” selon la directive européenne sur la cybersécurité (NIS2). Toutefois, les sources indiquent que les entités identifiées comme critiques sont définies dans la directive (UE) 2022/2557. Pour approfondir la question de savoir qui entre dans le périmètre, il est également utile de consulter la liste des entités NIS2 publiée par l’ACN.

Les sources énumèrent également plusieurs exigences pour les “entités essentielles et importantes”, notamment :

  • Adopter des mesures techniques, opérationnelles et organisationnelles pour gérer les risques liés à la sécurité des réseaux et des systèmes d’information.
  • Signaler sans retard injustifié tout incident significatif à son équipe de réponse aux incidents de sécurité informatique (CSIRT) ou à l’autorité nationale compétente.
  • Utiliser des produits, services et processus TIC certifiés qui ont été certifiés selon les schémas européens de certification de cybersécurité.
  • Coopérer avec les autorités compétentes en cas d’enquête ou d’incident.
  • Désigner ou établir un CSIRT.
  • Adopter une stratégie nationale de cybersécurité.
  • Désigner ou établir une ou plusieurs autorités compétentes responsables de la gestion des incidents et des crises de cybersécurité à grande échelle.

Les sources expliquent que, bien que la directive NIS2 couvre un large éventail de secteurs et d’entités, certaines entités, comme celles du secteur financier, peuvent être soumises à d’autres réglementations de l’UE en complément ou en remplacement de la directive NIS2. Par exemple, les entités financières sont couvertes par le règlement (UE) 2022/2554, qui contient des exigences similaires en matière de gestion des risques de cybersécurité et de signalement des incidents que la directive NIS2. Toutefois, les sources précisent que les entités financières restent soumises aux articles de la directive NIS2 concernant les stratégies nationales de cybersécurité, les plans nationaux de réponse aux incidents et aux crises de cybersécurité, et le réseau européen de liaison pour les crises cyber (EU-CyCLONe). Pour les organisations qui doivent vérifier leur position par rapport à ces obligations, le parcours de conformité à la directive NIS2 proposé par ISGroup peut constituer un point de départ concret.

[Callforaction-NIS2-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *