NIS 2 : se préparer aux changements prévus en octobre 2024

La mise à jour de la directive NIS 2, entrera en vigueur le 17 octobre 2024. Elle représente des changements significatifs de la directive NIS originale de 2016. Mise en place pour renforcer la sécurité numérique en Europe, la NIS 2 élargit son champ

NIS 2 : se préparer aux changements prévus en octobre 2024

La mise à jour de la directive NIS 2, entrera en vigueur le 17 octobre 2024. Elle représente des changements significatifs de la directive NIS originale de 2016. Mise en place pour renforcer la sécurité numérique en Europe, la NIS 2 élargit son champ d’application à de nouveaux secteurs comme les administrations publiques, les télécommunications et les plateformes de réseaux sociaux.

Cette directive imposera des exigences accrues aux entreprises, en matière de gestion des risques et de notification des incidents de sécurité.

Un mécanisme de proportionnalité est également introduit, différenciant les entités en “essentielles” et “importantes”, afin d’adapter les obligations en fonction de leur criticité.

PME ou grandes entreprises, voici les changements auxquels vous devez vous préparer !

Évolution des marchés concernés

Les secteurs d’activité concernés

La directive NIS 2 s’étend désormais à 35 secteurs d’activité. Les organisations concernées sont les entreprises publiques ou privées et collectivités territoriales de plus de 50 salariés dont le chiffre d’affaires dépasse 1 million d’euros. Elles figurent dans la liste des activités définie par l’ANSSI.

Initialement, NIS 1 englobait 19 secteurs : la santé, l’énergie, les transports, le secteur bancaire, les infrastructures des marchés financiers, l’approvisionnement en eau potable, les eaux usées, les infrastructures numériques, les fournisseurs de services numériques, les administrations publiques et le secteur aérospatial.

Les nouveaux secteurs concernés visent actuellement les services postaux et d’expédition, la gestion des déchets, la fabrication, la production et la distribution de produits chimiques, l’industrie, l’agroalimentaire et les fournisseurs de services numériques.

Les sous-traitants sont également assujettis à NIS 2

Les sous-traitants sont également concernés par la directive NIS 2 en raison de leur rôle crucial dans la chaîne d’approvisionnement et des risques de cybersécurité associés.

En incluant les sous-traitants, la directive NIS 2 vise à réduire les risques de cybersécurité liés aux tiers. De même, elle a pour objectif d’assurer que tous les maillons de la chaîne de valeur respectent des normes de sécurité élevées.

La cybersécurité ne peut être optimale que si toutes les parties impliquées, y compris les sous-traitants, partagent la responsabilité de protéger les informations et les systèmes.   

Classification des organisations par entités

La directive NIS 2 introduit une nouvelle catégorisation des entités en “Essentielles” et “Importantes” pour mieux adapter les exigences en matière de cybersécurité à leur niveau de criticité.

Entités Essentielles

Les “Entités Essentielles” (EE) regroupent ainsi des organisations dont les activités sont cruciales pour la société et l’économie. Elles incluent notamment :

  • Opérateurs de services essentiels tels que les infrastructures critiques de santé, les banques, les réseaux de transport, les fournisseurs d’eau et d’énergie.
  • Administrations publiques : Les administrations qui jouent un rôle clé dans la gestion et la coordination de services publics critiques.
  • Fournisseurs cloud et opérateurs des noms de domaines​

Les EE sont soumises à des obligations de cybersécurité plus strictes en raison de l’impact potentiel élevé d’un incident de sécurité sur ces secteurs.

Entités Importantes

Les “Entités Importantes” (EI), bien que cruciales, sont classées comme ayant un impact moindre par rapport aux EE. Elles incluent :

  • Plateformes de réseaux sociaux : En raison de leur rôle dans la communication et la diffusion de l’information.
  • Services postaux et d’expédition : Importantes pour le commerce et la logistique.
  • Fabrication de produits chimiques et production alimentaire : Critiques pour la sécurité et la chaîne d’approvisionnement​.

Les mesures NIS 2 en vigueur dès octobre 2024

Gestion des risques et sécurisation des systèmes d’information

Les entités doivent mettre en place des politiques et des mesures pour :

  • L’analyse et gestion des risques : Évaluer régulièrement les risques et les menaces potentielles.
  • La sécurité de la chaîne d’approvisionnement : Assurer la sécurité des systèmes et des services fournis par des tiers et des sous-traitants.
  • La sécurité des réseaux et des systèmes d’information : Implémenter des mesures de protection contre les cyberattaques et garantir l’intégrité et la confidentialité des données​.

Gouvernance et responsabilité

Les organes de direction des entités doivent :

  • Être responsabilisés sur la gestion des risques liés à la cybersécurité.
  • Mettre en place des politiques de formation à la cybersécurité pour le personnel et les dirigeants.
  • Valider et superviser les stratégies de cybersécurité et s’assurer de leur application​.

Gestion des incidents

Les entités assureront également la gestion des incidents :

  • Détecter et signaler les incidents de sécurité rapidement, avec une notification initiale dans les 24 heures et un rapport détaillé dans les 72 heures.
  • Prendre des mesures correctives pour minimiser les impacts et prévenir de futurs incidents.
  • Collaborer avec les autorités compétentes pour gérer les incidents et partager des informations pertinentes.

Obligation d’information

Les entités doivent :

  • Notifier les autorités compétentes et/ou le Computer Security Incident Response Team (CSIRT) en cas d’incident.
  • Fournir des informations détaillées sur l’incident, incluant la gravité, les impacts, les sites affectés et les mesures d’atténuation mises en œuvre.
  • Communiquer les mesures préventives et les résultats des analyses de risques aux parties prenantes​.

Conseils et recommandations pour vous conformer

Subventions et aides financières

Les entreprises peuvent bénéficier de plusieurs subventions et aides financières pour se préparer à la directive NIS 2 et renforcer leur cybersécurité. Parmi ces aides, le Chèque Diagnostic Cyber, offrant entre 3 200 et 5 000 euros. Il finance des audits techniques, d’architecture et organisationnels pour évaluer la sécurité des systèmes d’information.

La Subvention Diagnostic Cybersécurité couvre jusqu’à 50 % des dépenses éligibles. Jusqu’à 5 000 euros, pour aider à évaluer les risques et définir des plans d’action.

Le programme Cyber PME propose des subventions de 30 000 à 80 000 euros. Ce programme finance jusqu’à 70 % des dépenses liées à la sécurisation des systèmes d’information des PME.

Enfin, la stratégie d’accélération cybersécurité dans le cadre de France 2030. Elle soutient la filière nationale avec des financements pour des projets innovants et ainsi des aides pour améliorer la résilience face aux cybermenaces. Découvrez plus d’aides pour renforcer votre cybersécurité et vous conformer aux nouvelles exigences réglementaires.

Ressources et accompagnements

Vous pouvez faire appel à des experts proposant des services de conseil pour aider à l’évaluation des risques. De même pour la mise en place de mesures de sécurité et à la formation du personnel. Des consultants spécialisés peuvent effectuer des audits de sécurité et proposer des plans d’action sur mesure​.

Également vous devez choisir un ou des sous-traitants en accord avec la directive NIS 2. Pour vous aider dans l’optimisation de votre résilience en cybersécurité nous vous proposons un livre blanc sur le sujet, à télécharger gratuitement.

https://hello.netexplorer.fr/ebook/guide-securite-numerique

Vous faites partie des secteurs concernés et vous souhaitez être accompagnés dans la mise en conformité de votre sécurité informatique ?

Les solutions de partage et de stockage NetExplorer sont en accord avec les réglementations et exigences NIS 2.  

Experts de la gestion de fichiers depuis plus de 15 ans, nos solutions hautement sécurisées et certifiées. Hébergées dans notre cloud de confiance, nous garantissons aux organisations une totale maîtrise de leurs données. 

En savoir plus !

SOMMAIRE

Newsletter netexplorer

Vous aimez les chroniques ?

Nous oui et on vous partage nos dernières actus tous les mois !

Application NetExplorer : La collaboration mobile sécurisée, partout et à tout moment

Application NetExplorer : La collaboration mobile sécurisée

La mobilité est au cœur de toutes les activités professionnelles, il est essentiel que votre solution de partage et de stockage de fichiers soit aussi flexible que vous.
cloud professionnels

6 avantages du cloud computing pour les organisations

Comment créer et partager un modèle de document ?

Comment créer et partager un modèle de document ?

Cloud Act : origines, risques et alternatives pour les entreprises européennes

Cloud Act : risques et alternatives pour les entreprises européennes

Choisir une alternative à WeTransfer pour le partage sécurisé de vos fichiers

Service certifié HDS : comment s’assurer de leur conformité ?

6 conseils pour éviter le vol de données

être une entreprise éco-responsable en 2024

Être une entreprise éco-responsable en 2024

Cloud certifié HDS pour les CHU

Cloud certifié HDS : 5 raisons pour les CHU de choisir NetExplorer

SantExpo 2024

SantExpo 2024 : tout ce qu’il faut savoir

Cyberdéfense, le programme des actions 2030

Cyberdéfense : 3 aides financières pour les PME et ETI

La gestion documentaire de LEITNER France avec NetExplorer

Ransomwares en 2024 : que faire en cas d'attaques

Ransomwares en 2024 : que faire en cas d’attaque

Les attaques par ransomwares ne cessent de se multiplier. En 2023, elles ont connu une augmentation significative de 30 % par rapport à l'année précédente.
Renforcer sa résilience en cybersécurité

Renforcer sa résilience face aux cyberattaques

Sélectionnez l’espace de connexion qui vous convient