La directive (UE) 2022/2555, connue sous le nom de NIS2, comprend des mesures visant à assurer un niveau commun élevé de cybersécurité pour les réseaux et les systèmes d’information dans l’ensemble de l’UE. Elle fixe ainsi les conditions que les États membres et les entreprises doivent remplir dans le cadre de leurs stratégies de cybersécurité avant le 17 octobre 2024.

Qu’est-ce que la directive NIS2 ?

La directive NIS2 vise à harmoniser les pratiques en cybersécurité à travers l’UE. Elle s’applique à un large éventail de secteurs critiques, notamment :

• Énergie : électricité, chauffage et climatisation urbains, pétrole, gaz, hydrogène
• Transports : ferroviaires, aériens, maritimes, terrestres
• Banques
• Infrastructures des marchés financiers
• Santé, y compris la fabrication de produits pharmaceutiques, dont les vaccins
• Eau potable
• Eau usées
• Infrastructures numériques : points d’échange Internet, prestataires de services DNS, registres de noms TLD, prestataires de services informatiques dans le cloud, prestataires de services de centre de données , réseaux de diffusion de contenu, prestataires de services de confiance, prestataires de réseaux de communications électroniques publics, services de communications électroniques accessibles au public
• Gestion de service TIC : prestataires de services gérés, prestataires de services de sécurité gérés
• Administration publique
• Espace

Les entreprises de ces secteurs devront ainsi respecter des obligations techniques, organisationnelles et opérationnelles.

Les obligations clés de la directive NIS2

1. Gestion des risques cyber

Les organisations doivent réaliser une analyse approfondie des risques cyber et évaluer leurs politiques de sécurité existantes. De plus, la directive insiste sur la formation des décideurs et sur l’implication du corps managérial dans la validation des mesures de gestion des risques cyber.

2. Mesures techniques de protection

Pour renforcer la sécurité, la directive impose plusieurs mesures techniques, telles que :

• La cryptographie et le chiffrement des données.
• Le contrôle des accès aux systèmes.
• L’authentification à plusieurs facteurs.

3. Signalement des incidents de sécurité

Les entreprises devront notifier à l’ANSSI tout incident de sécurité dans un délai de 24 heures suivant sa survenue. Cette notification initiale devra être suivie d’une évaluation de l’impact sous 72 heures, puis d’un rapport complet dans un délai d’un mois.

4. Sécurité de la chaîne d’approvisionnement

Les organisations devront accorder une attention particulière à la cybersécurité de leur chaîne d’approvisionnement. Ainsi, elles devront réaliser des audits de due diligence pour examiner les pratiques de cybersécurité de leurs fournisseurs et prestataires.

5. Tests et audits de sécurité

La directive impose la réalisation régulière de tests et audits techniques, notamment des tests d’intrusion et des scans de vulnérabilités, afin d’évaluer l’efficacité des mesures de sécurité mises en place.

6. Formation et sensibilisation

La formation des collaborateurs aux risques cyber et aux bonnes pratiques est essentielle. En effet, elle permet non seulement de protéger les employés, mais aussi de renforcer la sécurité globale de l’organisation, qu’elle soit publique ou privée.

7. Équipe dédiée et communication

Chaque organisation concernée devra disposer d’une équipe spécialisée pour la gestion des incidents cyber. Elle devra également désigner une personne de contact auprès de l’ANSSI.

Pourquoi cette la directive NIS2 est-elle importante ?

Face à l’évolution des cybermenaces, la directive NIS2 cherche à renforcer la résilience des infrastructures critiques en Europe. Ainsi, elle encourage les entreprises à adopter une approche proactive et à intégrer la cybersécurité au cœur de leurs stratégies.