La directive NIS-2 : présentation.
La cybersécurité est devenue une priorité absolue pour les gouvernements et les entreprises du monde entier.
Pour faire face à l’évolution et la sophistication des cyberattaques et pour se doter d’un cadre règlementaire plus adapté au niveau de risque cyber actuel, l’Union Européenne a décidé de mettre à jour la directive NIS (Network and Information Security Directive) en proposant la Directive NIS-2.
La Directive NIS-2, adoptée en décembre 2022 au niveau européen, vise à renforcer la sécurité des réseaux et des systèmes d’information à travers les États membres de l’UE, en établissant des exigences de sécurité plus strictes pour les opérateurs de services essentiels et les fournisseurs de services numériques.
En France, cette directive doit être intégrée dans la loi nationale d’ici octobre 2024.
Cet article aborde les grandes lignes de la directive, vous pouvez retrouver un dossier complet à télécharger gratuitement à cette adresse.
La NIS-2, quel impact ?
La Directive NIS-2 élargit considérablement le champ d’application par rapport à la directive précédente : elle couvre désormais un éventail plus large de secteurs et d’entités, visant à garantir la sécurité des services essentiels et des fournisseurs de services numériques.
Les secteurs couverts peuvent inclure l’énergie, les transports, la santé, les services bancaires et financiers, ainsi que d’autres secteurs jugés essentiels pour le fonctionnement de la société et de l’économie.
Contrairement à la directive initiale, les exigences en matière de cybersécurité de la NIS2 s’appliquent non seulement aux organisations considérées comme ‘critiques’ selon sa définition élargie et à leurs employés directs, mais aussi aux sous-traitants et aux fournisseurs de services qui les appuient.
En France, NIS-1 concernait environ 300 entités. Avec NIS-2, le chiffre passe à 15 000.
Quels secteurs entrent dans le champ d’action de la NIS-2 ?
En bleu, les Entités Essentielles (EE), détaillées dans l’Annexe I de la NIS-2
En noir, les Entités Importantes (EI), détaillées dans l’Annexe II de la NIS-2
NIS-2, quel périmètre d’application ?
Sauf exception, la directive NIS-2 concerne uniquement les moyennes et grandes entreprises.
En effet, la NIS-2 introduit dans son Article 2 une notion de taille des entités qui n’existait pas avec la première itération.
Sont considérées comme grandes, les entreprises de plus de 250 salariés et/ou de 50 millions d’euros de chiffre d’affaires.
Les moyennes entités sont, elles, comprises entre 50 et 249 employés et/ou ayant un chiffre d’affaires de plus de 10 millions d’euros.
Contrairement à la directive initiale, les exigences en matière de cybersécurité de la NIS2 s’appliquent non seulement aux organisations considérées comme ‘critiques’ selon sa définition élargie et à leurs employés directs, mais aussi aux sous-traitants et aux fournisseurs de services qui les appuient.
La directive oblige l’intégration de la sécurité avec les prestataires.
Dans le but de faciliter l’application de la NIS-2 en France, l’ANSSI a mis en ligne un portail afin de savoir si votre entreprise est concernée par l’application de la NIS-2. Il est disponible à cette adresse.
Responsabilités des Entreprises
La directive NIS-2 impose aux entreprises plusieurs responsabilités clés pour garantir la sécurité des réseaux et des systèmes d’information.
Ces responsabilités incluent la mise en place de mesures techniques et organisationnelles appropriées, la notification des incidents de sécurité significatifs, et la coopération avec les autorités nationales et les autres parties prenantes.
La directive impose 20 objectifs de sécurité répartis en 4 volets principaux. Ils répondent aux obligations des articles 20 et 21 de la directive.
Pour les EI, 15 d’entre eux sont applicables.
Pour les EE, les 20 sont obligatoires.
En France, l’ANSSI a publié récemment un guide de moyens acceptable de conformité. Il contient les mesures proposées par l’ANSSI pour répondre à chaque objectif obligatoire en fonction des menacées déjà identifiées. Certains objectifs de sécurité disponibles ci-dessus ont déjà été détaillés.
C’est le cas de l’objectif 15, pour lequel l’ANSSI a publié une liste de mesures clefs :
-Pour les EE, utilisation de PC dédiés à l’administration.
-Pour les EI, seuls les PC de l’administration de l’AD doivent être dédiés à l’administration globale.
-Le réseau d’administration peut être logique.
-VPNIPSec.
-Un bastion n’est pas obligatoire.-
Une VM de rebond ou bastion avec un PC bureautique est à proscrire.
Mise en conformité avec ORNISEC
ORNISEC dispose également d’une équipe dédiée à la gestion des incidents de sécurité. Cette équipe est formée pour aider les entreprises à répondre rapidement et efficacement aux incidents, minimisant ainsi les impacts potentiels sur leurs opérations.
La gestion des incidents comprend la détection, l’analyse et la réponse aux cyberattaques, ainsi que la communication avec les autorités compétentes. En fournissant un support continu et en aidant les entreprises à se préparer aux incidents, ORNISEC joue un rôle essentiel dans la protection des actifs critiques et dans le maintien de la continuité des opérations.
En tant que prestataire qualifié PASSI, ORNISEC garantit que les entreprises utilisant ses services sont considérées comme conformes aux exigences de la directive NIS-2. Cette conformité est essentielle pour éviter les sanctions et pour protéger la réputation des entreprises.
ORNISEC aide également à préparer les rapports de conformité nécessaires pour les autorités nationales, en assurant une documentation complète et précise des mesures de sécurité mises en place.
En travaillant avec ORNISEC, les entreprises peuvent avoir l’assurance de répondre aux exigences réglementaires et de protéger efficacement leurs réseaux et systèmes d’information.
Pour plus d’informations sur nos services et comment ORNISEC peut vous aider à répondre aux exigences de la directive NIS-2, vous pouvez écrire directement à contact@ornisec.com ou visiter notre site web www.ornisec.com. Nos équipes d’experts se feront une joie d’aborder vos problématiques ainsi que de répondre à vos questions.
ORNISEC a édité un guide complet de la directive NIS-2, vous pouvez le télécharger directement à cette adresse.