NIS2 : Améliorez la sécurité de vos réseaux et systèmes d'information en adoptant la nouvelle norme européenne !
Synetis vous propose son accompagnement pour vous conformer aux nouveaux défis en matière de sécurité. Préparez-vous à migrer vers des mesures obligatoires de sécurité renforcées, conformément aux exigences de la nouvelle directive NIS 2.
Qu'est-ce que la directive NIS ?
La directive NIS, vise à assurer un niveau de sécurité uniforme pour les réseaux et systèmes d'information de l'Union Européenne. Initiée en 2016, NIS 1 a pour objectifs d'accroître la maturité cyber des États membres et protéger leurs intérêts économiques.
NIS 2, publiée en décembre 2022 et applicable en France dès octobre 2024, élargit ses objectifs face à des menaces malveillantes plus sophistiquées, renforçant la protection des entités insuffisamment protégées.
-
Amélioration de la sécurité
-
Adaptation aux nouvelles menaces
-
Catégorisation simplifiée
-
Protection des secteurs critiques
-
Entités Essentielles (EE) : Ce sont des entités réalisant des activités dans des secteurs spécifiés comme étant hautement critiques, comme défini dans l'annexe 1 de la directive NIS2. En général, ces secteurs sont essentiels au bon fonctionnement de la société et de l'économie. De plus, les entités essentielles doivent avoir plus de 250 salariés (en équivalent temps plein) ou un chiffre d'affaires supérieur à 50 millions d'euros.
-
Entités Importantes (EI) : Cette catégorie englobe les entités qui, bien que n'opérant pas dans des secteurs considérés comme hautement critiques, jouent un rôle significatif dans l'économie ou la société. Les critères spécifiques pour cette catégorie sont également détaillés dans la directive NIS2.
Secteurs d'activité visés
La directive NIS 1 visait les secteurs d’activités suivants :
- énergie
- transports
- banques
- infrastructures de marchés financiers
- secteur de la santé
- fourniture et distribution d’eau potable
- infrastructures numériques
La directive NIS 2 complète la liste en y ajoutant les secteurs suivants :
- eaux usées
- espace
- administration publique
- services postaux et d’expédition
- gestion des déchets
- chimie
- alimentation
- fabrication
- recherche,
- fournisseurs numériques (dont les places de marché en ligne, moteurs de recherche, services de réseaux sociaux)
Objectifs de sécurité
En ce qui concerne les participants de la chaîne d'approvisionnement :
La directive NIS 2 instaure une nouvelle obligation de sécurité contractuelle pour les entités essentielles et importantes. Les entités assujetties à la directive devront intégrer des clauses contractuelles liées à la cybersécurité dans leurs accords avec les fournisseurs et prestataires directs.
Plus spécifiquement :
Les entités non assujetties devront exercer une vigilance accrue lors de leurs négociations contractuelles avec des entités relevant de la NIS 2, veillant à n'accepter que ce qui est légitime et à ne pas s'engager excessivement sur le plan de leur responsabilité contractuelle.
NIS2 : Mettez-vous dès maintenant en conformité avec la nouvelle directive
NIS2, une obligation !
La directive NIS 2 confère aux autorités nationales, telles que l'ANSSI en France, un pouvoir de surveillance renforcée. Les entités essentielles peuvent être soumises à un contrôle ex ante, sans qu'il y ait d'incidents de sécurité, ou à un contrôle ex post en cas d'incident ou de preuves indiquant un non-respect de NIS 2. Les autorités nationales, comme l'ANSSI, sont habilitées à émettre des avertissements et des ordres à l'encontre des entités en infraction, ainsi qu'à imposer des amendes administratives, lesquelles seront au minimum :
- de 10 millions d'euros ou 2% du chiffre d'affaires annuel mondial pour les entités essentielles ;
- de 7 millions d'euros ou 1,4% du chiffre d'affaires annuel mondial pour les entités importantes ;
- L'ANSSI conserve le pouvoir de prononcer des amendes d'un montant moindre.
SYNETIS - Tous droits réservés - www.synetis.com