Gros plan sur la directive NIS2
La directive NIS2 augmente les exigences minimales pour la sécurité IT de l’infrastructure critique, et affecte beaucoup plus d’organisations que la directive précédente. Quels modifications vous attendent ? Que devez-vous faire dès à présent pour être bien préparé ? Vous trouverez les réponses aux questions les plus importantes ci-dessous.
Qu’est-ce que la NIS2 ?
La directive NIS2 (Network and Information Systems 2, systèmes de réseau et d’informations 2) est un instrument juridique qui définit un objectif à atteindre par les pays de l’UE, et qui définit les exigences minimales pour la cybersécurité de l’infrastructure critique. À travers son déploiement, la Commission européenne a pour but d'améliorer le niveau de cybersécurité dans l’Union européenne et de renforcer la coopération internationale en combattant les cyberattaques. La NIS2 est en vigueur depuis le 16 janvier 2023. Les États membres doivent l’intégrer à leur législation nationale d’ici le 17 octobre 2024. La nouvelle directive concerne environ 30 000 organisations en Allemagne et introduit de nouvelles obligations.
Que signifie la NIS2 en Allemagne ?
La loi allemande sur le déploiement de la NIS2 (NIS2UmsuCG) est désormais disponible sous forme de deuxième ébauche au niveau du gouvernement. Cette ébauche est actuellement soumise au vote et doit ensuite passer par la procédure législative au niveau fédéral. la NIS2UmsuCG est un acte à usage multiple qui modifie les lois existantes concernant l’infrastructure critique (KRITIS) en Allemagne, en particulier la loi sur le Bureau fédéral pour la sécurité des informations (BSIG).
Pour pouvoir être bien préparées, les organisations doivent traiter le sujet dès à présent, au lieu d'attendre que l’ébauche soit finalisée. N’oublions pas que l'ajout de mesures de sécurité prend du temps, et que les ressources de conseil se raréfient généralement si tout est laissé à la dernière minute.
Les modifications les plus importantes de la NIS2 en bref
La directive NIS2 révise et remplace la directive NIS de 2016. Les modifications les plus importantes sont les suivantes :
- Un nombre plus important d’organisations est concerné. Le nombre de secteurs est passé à 18. Sept nouveaux secteurs importants ont été ajoutés et les seuils ont été réduits.
- Les organisations doivent pouvoir évaluer les risques d’une cyberattaque dans leur chaîne d’approvisionnement.
- La gestion des cyber-risques est devenue obligatoire.
- Les organisations doivent fournir une formation aux employés et effectuer des audits sur la cybersécurité.
- La direction est personnellement responsable de tout dommage causé, lié au non-respect de ses obligations en matière de gestion des cyber-risques.
- Des pénalités importantes peuvent être imposées en cas de violations.
- Les exigences de rapports strictes doivent être respectées. L'autorité de supervision est l’Office fédéral de la sécurité des technologies de l'information (BSI).
- Les États membres doivent désigner une CSIRT (Computer Security Incident Response Team) nationale. En Allemagne, ce rôle sera probablement endossé par le BSI. Les CSIRT coopéreront au sein de l’UE et seront placées sous la direction de l’autorité de cybersécurité de coordination globale, l’ENISA (European Union Agency for Cybersecurity, Agence de l'Union européenne pour la cybersécurité).
Avez-vous des questions ?
Richard Werner,
Consultant commercial
Choisissez votre expert : Discutez de la NIS2 et de la cybersécurité !
Décidez par vous-même quel expert répond le mieux à vos besoins. Que vous ayez besoin d’un support stratégique ou technique, nous sommes là pour vous aider à assurer votre conformité à la NIS2.
Thomas Margner,
Responsable senior ventes de solution
Suis-je concerné par la NIS2 ?
Les organisations doivent déterminer elles-mêmes si elles sont concernées par la NIS2, et doivent s’inscrire auprès du BSI si besoin. Les critères sont les suivants :
Click here to edit VerticalTabsV1 Component
Différence entre les secteurs essentiels et ceux importants
La directive NIS2 identifie ces 18 secteurs
Secteurs essentiels
- Énergie (électricité, huile, eau, hydrogène)
- Santé (hôpitaux, laboratoires, recherche et développement, pharmaceutique, fabricants de dispositifs médicaux)
- Transport (aérien, ferroviaire, maritime, routier)
- Banque et finance
- Eau potable
- Eaux usées
- Infrastructure numérique (IXP, fournisseurs cloud, data centers, CDN, TSP, fournisseurs de communications électroniques)
- Gestion de service ICT dans les B2B
- Spatial
- Administration publique (gouvernement central, gouvernements régionaux)
Secteurs importants
- Poste et services de livraison
- Gestion des déchets
- Produits chimiques
- Aliments
- Industries de traitement/fabrication
- Services numériques (marchés en ligne, moteurs de recherche, réseaux sociaux)
- Recherche
Alimentez-vous un secteur essentiel ou important ?
Si oui, vous êtes indirectement concerné par la NIS2, car la directive requiert que les fournisseurs d’infrastructure essentiels, ainsi que les secteurs importants et essentiels dans les 18 secteurs identifiés, tiennent compte de la cybersécurité dans leurs chaînes d'approvisionnement. Ceux qui souhaitent continuer à recevoir des commandes doivent partir du principe que les discussions sur la cybersécurité deviendront la norme dans les négociations de contrats à l’avenir.
Exigences relatives à la directive NIS2 pour les PDG/la direction
La NIS2 met l’accent sur la gestion des cyber-risques qui fait partie de la gestion des risques d’entreprise, et à raison : les cyberattaques constituent le risque le plus important auquel font face les entreprises aujourd’hui. Il est particulièrement important d'assurer la continuité des activités dans l’infrastructure essentielle. C’est pour cela que la NIS2 attribue la responsabilité aux PDG : ils doivent soutenir les mesures pour la gestion des cyber-risques et surveiller l’implémentation. Les PDG qui ne remplissent pas leurs obligations en gestion des cyber-risques sont personnellement responsables des risques et/ou dommages associés.
Pour les PDG qui n’ont pas encore eu vraiment affaire à la cybersécurité jusqu'à présent, la gestion des cyber-risques est un nouveau domaine. Dans la pratique, avec la NIS2, les PDG doivent pouvoir identifier et évaluer les cyber-risques, et déterminer lesquels sont acceptables ou non pour l’organisation. Ils doivent donc tenir compte de la probabilité et de la portée attendue des dommages liés aux cyberattaques pour leur organisation. Une condition préalable essentielle est de mener des réunions régulières avec la ou les personnes responsables de la sécurité informatique. Néanmoins, selon une étude de Trend Micro, 51 % des équipes informatiques incluses dans l'étude discutent déjà des cyber-risques avec la direction une fois par semaine.
PODCAST
Écoutez le podcast et découvrez les conseils Hannes Steiner, Vice-président Allemagne de Trend Micro, sur la NIS2.
Exigences relatives à la directive NIS2 pour les DSSI/les responsables de la sécurité IT
Les responsables de la sécurité IT sont ceux qui doivent relever le défi de déployer la directive NIS2. L’Article 21 de la directive répertorie les exigences minimales en matière de cybersécurité. En dehors de la gestion des cyber-risques, la liste comprend également la gestion de sauvegarde, la gestion des incidents, les politiques et les procédures concernant l’utilisation de la cryptographie, ainsi que le contrôle d'accès et la gestion des identités, par exemple. Mais il y une bonne nouvelle : si vous avez mis en place des bonnes pratiques de sécurité standard, vous pouvez déjà cocher un grand nombre d’exigences.
En matière de gestion des cyber-risques, les DSSI/responsables de la sécurité IT doivent pouvoir communiquer clairement avec la direction, à tout moment, sur l'état actuel des risques, les risques les plus urgents et les mesures que l’organisation doit prendre. La gestion des cyber-risques doit être effectuée en continu, car la surface d'attaque et l’environnement des menaces évoluent constamment.
Trend Micro prend en charge le déploiement de la NIS2 en fournissant la technologie de sécurité la plus avancée.
Click here to edit VerticalTabsV1 Component
Trend Micro reconnu leader
Forrester Wave™ : Endpoint Security, 4ème trimestre 2023
Trend Micro a reçu le meilleur score dans la catégorie Stratégie, avec les notes les plus élevées possibles en Innovation, Feuille de route et Adoption.
Solutions possibles pour la NIS2
Solutions de Trend Micro qui prennent en charge le déploiement de la NIS2
Exigences relatives à la directive NIS2 pour les responsables de la conformité
Pour vous assurer que votre organisation est conformé à la NIS2, vous devez bien connaître les exigences réglementaires, documenter les mesures prises et vérifier leur efficacité. Vous devez également fournir une formation pour sensibiliser les employés à la conformité NIS2. Si vous êtes affecté par une cyberattaque, vous devez avoir une procédure en place pour signaler l’incident en temps et en heure au BSI, sous 24 heures.
Les exigences finales en Allemagne ne deviendront claires que lorsque la loi allemande sur le déploiement de la NIS2 aura été votée. En attendant, il est recommandé de se familiariser avec l'état actuel de la législation concernant la loi allemande sur la sécurité IT.
NIS2 et RGPD
Même si la législation allemande sur la NIS2 est toujours en attente, un élément est déjà clair : le RGPD sera supérieur à la NIS2. En cas d’incidents impliquant les deux lois, la gravité des pénalités s'appuiera sur le RGPD. Les amendes stipulées par le RGPD pour les violations particulièrement graves sont deux fois plus élevées et peuvent atteindre 20 millions d’euros ou 4 pour cent du chiffre d'affaires annuel mondial.
FAQ
Click here to edit AccordionWithImageV1 Component
Avez-vous des questions ?
Richard Werner,
Consultant commercial
Choisissez votre expert : Discutez de la NIS2 et de la cybersécurité !
Décidez par vous-même quel expert répond le mieux à vos besoins. Que vous ayez besoin d’un support stratégique ou technique, nous sommes là pour vous aider à assurer votre conformité à la NIS2.
Thomas Margner,
Responsable senior ventes de solution