À quoi se préparer face à l’arrivée du NIS2 ?

Table des matières

Certains aspects du Network and Information Systems Directive ne correspond plus au paysage numérique actuel qui a beaucoup évolué depuis 2016. Les législateurs européens ont alors adopté une nouvelle version de la directive. Celle-ci devra bientôt être transposée dans la législation française. L’idée est de garantir une meilleure sécurité pour les SI et réseaux européens.

Le NIS2, adopté au Parlement européen en janvier 2023, prendra effet en France en octobre prochain. Il réaffirme, enrichit et perfectionne le NIS1, entré en vigueur en 2016, en rectifiant les défauts connus. Cette précédente directive visait à garantir un niveau de sécurité commun et élevé pour les systèmes d’information et les réseaux au sein de l’Union européenne. Le NIS1 est cependant devenu obsolète en raison de la transformation rapide du secteur du numérique.

Les dispositions de sécurité instaurées dans le NIS2 ressemblent à celles qu’on voit dans la norme NIST aux États-Unis. Elles équivalent par ailleurs à celles renfermées dans la certification ISO/27000.

Le rôle des autorités nationales a été étendu

Le NIS2 diffère des autres réglementations. Il confie en effet aux autorités nationales le contrôle de sa conformisation. L’ANSSI s’occupera ainsi désormais de la supervision et de la surveillance de son application. Elle dispose du pouvoir de formuler des injonctions et des avertissements contre les organisations transgressant la nouvelle directive. Auparavant, l’organisation s’en tenait à un rôle de conseil.

L’ANSSI peut même délivrer des amendes administratives, dont le montant plancher diffère entre les entités qualifiées d’importantes et celles dites essentielles. Il s’élève concrètement à 1,4 % du chiffre d’affaires annuel mondial pour les premières. Pour les secondes, il a été fixé à 2 % du chiffre d’affaires annuel mondial ou à 10 millions d’euros.

Le NIS2 régit le niveau de sécurité des entreprises, celles spécialisées dans le portage salarial y comprises. Son rôle va toutefois bien au-delà. Le texte incite également les gouvernements à consolider leur collaboration sur le plan de la gestion de crise cyber. Cette coopération devra notamment se matérialiser par la mise en place officielle du Cyber Crisis Liaison Organisation Network (CyCLONe).

Ce réseau réunit l’ANSSI et ses équivalents dans les autres pays de l’Union européenne. Il sert au pilotage de la stratégie de la Commission en matière de sécurité de l’information. L’entité contribue ainsi au déploiement d’une réaction rapide dans les situations de crise cyber transfrontalière d’envergure ou lors d’incidents. Elle vise à permettre :

  • Une étude d’impact coordonnée sur les effets d’une crise informatique transfrontalière ou d’une immense crise de cybersécurité, d’une part ;
  • Des consultations sur les plans d’action nationaux de riposte, d’autre part.

De nouvelles exigences sont posées

Le NIS2 amplifie les exigences du NIS1 et formule des mesures que chaque entité visée doit considérer. Celles-ci comprennent par exemple la maintenance et le développement des systèmes d’information et réseaux, ou encore :

  • Le recours à des systèmes de communication d’urgence si jamais une crise survient à des instruments sécurisés ;
  • L’utilisation de logiciels d’authentification multifactorielle ;
  • La gestion des actifs ;
  • Les règles de contrôle d’accès ;
  • La sécurité des ressources humaines ;
  • Les procédures et politiques relatives à la cryptographie ;
  • La sécurité de la supply chain ;
  • L’évaluation des politiques de gestion des risques liés à la cybersécurité ;
  • La correction et la révélation des failles ;
  • La gestion des crises et la sécurisation des sauvegardes ;
  • La création de plans de reprise et de continuité d’activité (PRA / PCA) ;
  • La gestion des problèmes à l’aide d’un processus d’alerte plus rigoureux ;
  • Des politiques relatives à la protection des systèmes d’information (PSSI) et à l’étude des risques.

Les dirigeants d’entreprise pourront, en outre, être dorénavant tenus personnellement responsables des incidents. Ils seront également contraints de suivre des formations sur le sujet. Les comités de direction seront obligés de donner leur aval concernant les décisions se rapportant à la cybersécurité. En cas de transgression du NIS2, leur responsabilité sera engagée en conséquence. Cette directive cherche à travers cette disposition à faire en sorte que les cadres de la direction s’approprient les risques. L’objectif consiste à améliorer la gouvernance de ces derniers.

Cet article vous a-t-il été utile ?

Note moyenne 0 / 5. Nombre de votes 0

Actualité du portage salarial