Nouvelle directive NIS2 : êtes-vous prêts pour octobre 2024 ?

Face à une recrudescence des cyberattaques en Europe, l'Union européenne a décidé de fortifier sa législation en matière de sécurité réseau avec une version révisée et renforcée de la directive NIS (Network and Information Security). Cette révision vise non seulement à uniformiser les normes de cybersécurité à travers les États membres, mais aussi à étendre son application de manière plus précise et plus ambitieuse. La réforme se caractérise par une extension des domaines couverts et l'inclusion explicite de la chaîne de sous-traitance, visant à provoquer un changement significatif dans les pratiques de sécurité numérique. Qui est affecté par ces changements ? Quelles obligations cela implique-t-il ? Comment se préparer à ces nouvelles régulations ? Cet article apporte des éclaircissements.

Qui est impacté par la directive NIS 2 ?

La NIS 2 introduit également de nouvelles catégories d'entités : les Entités Essentielles (EE) et les Entités Importantes (EI). Ces classifications visent à identifier les entreprises qui ont un impact significatif sur la société et l'économie, en raison de la nature critique de leurs services ou de leur influence sur le marché. En conséquence, les grandes entreprises sont généralement désignées comme des Entités Essentielles, tandis que les moyennes entreprises sont considérées comme des Entités Importantes, à quelques exceptions près.

Il est important de noter que la conformité à la directive NIS 2 ne concerne pas seulement les entités elles-mêmes, mais également leurs sous-traitants et fournisseurs de services. Les entreprises seront de plus en plus regardantes quant à la conformité de leurs sous-traitants, car elles veilleront à ce que toute la chaîne d'approvisionnement soit sécurisée et résiliente face aux cybermenaces. En d'autres termes, il est essentiel pour les entreprises de prendre des mesures proactives pour se conformer à la directive NIS 2, même si leurs clients ne leur demandent pas explicitement, afin de maintenir leur réputation et leur compétitivité sur le marché européen

Quels secteurs sont concernés ?

La directive NIS fait partie d'un vaste cadre réglementaire conçu pour améliorer la cybersécurité sur le marché européen, en particulier dans les secteurs fortement dépendants des technologies de l'information et de la communication. La directive NIS2 élargit son champ d'application, intégrant ainsi plus d'entités et de secteurs sous son égide.

Elle englobera notamment les secteurs suivants : administrations publiques, les télécommunications, les plateformes de réseaux sociaux, les services postaux, et le secteur spatial.

Comment les entreprises peuvent-elles se préparer aux obligations futures ?

Alors que l'obligation de se conformer à la directive NIS2 prendra effet à partir d'octobre de cette année, les opérateurs de services essentiels (OSE) et les fournisseurs de services numériques doivent tout de même continuer à respecter les exigences établies par la directive NIS1 et autres réglementations relatives à la sécurité des systèmes d'information. Ces entités doivent également maintenir et renforcer les efforts déjà entrepris pour se conformer à la première version de la directive, sachant que ces efforts constitueront une base solide pour les exigences à venir avec la NIS2.

Pour les entreprises qui seront touchées par la NIS2, il est crucial d’adopter une approche proactive dès maintenant pour améliorer leur sécurité informatique. Face à une cybermenace persistante et à des systèmes d'information toujours vulnérables, la nouvelle directive représente une occasion précieuse d'investir dans la sécurisation de leurs infrastructures.

Il est conseillé aux entreprises concernées de commencer par évaluer leur niveau actuel de maturité en matière de cybersécurité. Cela peut être réalisé en collaboration avec des experts en cybersécurité qui peuvent aider à dresser un état des lieux complet du système d’information et à développer une feuille de route adaptée pour la mise en conformité avec les exigences de la NIS2. Cette démarche proactive non seulement préparera les organisations aux futures obligations mais les positionnera également avantageusement pour répondre aux défis de sécurité de manière continue et efficace.

 👉 Il est déjà possible de positionner le niveau de maturité cyber de votre entreprise en téléchargeant notre infographie, qui vous aidera à évaluer votre conformité et à identifier les domaines à renforcer pour protéger efficacement votre organisation contre les cybermenaces.