La directive NIS 2, qui signifie Network and Information Security, représente un changement majeur dans la réglementation de la cybersécurité pour les entreprises en Europe. Prévue pour être transposée dans le droit français en octobre 2024, elle concerne un large éventail d’entreprises, bien au-delà des grandes structures. Si votre entreprise emploie plus de 50 personnes ou réalise un chiffre d’affaires supérieur à 10 millions d’euros, il est essentiel de comprendre les implications de cette nouvelle directive pour se préparer efficacement.
Qu'est-ce que la directive NIS 2 ?
NIS 2 est une évolution de la précédente directive NIS 1, avec un champ d’application élargi. Elle vise à renforcer la sécurité des réseaux et des systèmes d’information des entreprises dans l’Union européenne. Contrairement à NIS 1, qui se concentrait principalement sur les systèmes critiques, NIS 2 couvre l’ensemble du système d’information de l’entreprise, augmentant ainsi le nombre d’entreprises impactées.
Les différences clés entre NIS 1 et NIS 2
La principale différence entre NIS 1 et NIS 2 réside dans leur portée. Alors que NIS 1 se concentrait sur les systèmes critiques, NIS 2 englobe tous les aspects du système d’information d’une entreprise. Cela signifie que la protection doit être intégrale, couvrant toutes les divisions de l’entreprise. De plus, NIS 2 élargit la classification des entreprises concernées, introduisant les catégories d’entités essentielles (EE) et d’entités importantes (EI), ce qui augmente le nombre d’entreprises devant se conformer.
Votre entreprise est-elle concernée ?
Avec l’expansion du champ d’application de NIS 2 par rapport à son prédécesseur, un plus grand nombre d’entreprises se trouvent dans le radar de cette directive. Voici comment déterminer si votre entreprise est impactée :
- Critères de taille et de chiffre d’affaires : NIS 2 s’applique aux entreprises ayant plus de 50 employés ou réalisant un chiffre d’affaires supérieur à 10 millions d’euros. Ce critère élargit considérablement le nombre d’entreprises concernées par rapport à NIS 1
- Secteurs d’activité réglementés : La directive NIS 2 ajoute 18 nouveaux secteurs d’activité à la liste de ceux déjà couverts par NIS 1, portant le total à 37 secteurs réglementés.
Ces secteurs comprennent, entre autres, l’administration publique, l’alimentation, la chimie, la gestion des eaux usées, l’espace, les services numériques (y compris les marketplaces, les moteurs de recherche, les réseaux sociaux), la gestion des déchets, les infrastructures numériques, le secteur pharmaceutique, les communications électroniques, la recherche, les services postaux, et les transports. Cette expansion signifie que de nombreuses entreprises qui n’étaient pas auparavant concernées par la cybersécurité au niveau réglementaire doivent maintenant se préparer à se conformer à NIS 2
- Classification des entités essentielles et importantes : NIS 2 introduit deux nouvelles catégories d’entités : les entités essentielles (EE) et les entités importantes (EI). Cette classification remplace les OSE (opérateurs de services essentiels) de NIS 1. Les entreprises classées comme EE feront l’objet d’audits et d’inspections plus rigoureux, tandis que les EI seront également soumises à des exigences de conformité, bien que potentiellement moins strictes.
- Impact en cas de cyberattaque : Une autre considération est de déterminer si une cyberattaque contre votre entreprise aurait un impact grave sur l’économie ou le fonctionnement de l’État. Si la réponse est affirmative, votre entreprise serait classée comme « essentielle » selon les critères de NIS 2.
Je suis concerné, que faire ?
Si vous avez déterminé que votre entreprise est concernée par la directive NIS 2, il est crucial de commencer à planifier votre conformité. Bien que NIS 2 ne sera pas intégrée dans la législation française avant octobre 2024 et que les sanctions pour non-conformité ne commenceront pas avant fin 2025, il est conseillé de ne pas attendre.
- Évaluer la nécessité d’un partenaire de cybersécurité : Si vous n’avez pas encore de partenaire pour gérer votre cybersécurité, il est fortement recommandé d’envisager cette option. La complexité et l’étendue des exigences de NIS 2 peuvent nécessiter l’expertise et le soutien d’un fournisseur de services de cybersécurité spécialisé.
- Budget pour la cybersécurité : L’installation ou l’amélioration de logiciels de cybersécurité représente un investissement, mais un investissement nécessaire. Selon les estimations, les dépenses en sécurité informatique pourraient augmenter de 12 à 22 %, dépendant des secteurs. Ces investissements sont non seulement supportables mais peuvent également être bénéfiques à long terme, dépassant les coûts associés aux violations de données
- Aide financière de l’État : Les entreprises peuvent solliciter une aide financière auprès de l’Agence nationale de la sécurité des systèmes d’information, qui dispose d’un budget dédié pour aider les entreprises à augmenter leur protection cyber
- Planification et mise en œuvre : Commencez par une évaluation détaillée de votre situation actuelle en matière de cybersécurité. Ensuite, développez une stratégie globale pour répondre aux exigences de NIS 2, en tenant compte des aspects tels que les audits, les inspections, et la documentation des stratégies de cybersécurité.
Quelles sont les sanctions ?
NIS 2 prévoit des amendes significatives pour non-conformité, allant jusqu’à 10 millions d’euros ou 2% du CA pour les entités essentielles, et 7 millions d’euros ou 1,4% du CA pour les entités importantes. En outre, en cas de cyberattaque, les entreprises non conformes pourraient faire face à des poursuites judiciaires.
Comment se préparer au mieux à la directive NIS 2
Alors que la transposition de NIS 2 dans la législation française est prévue pour octobre 2024, les entreprises doivent déjà commencer à se préparer pour éviter de se retrouver en situation de non-conformité. Voici les étapes clés :
- Évaluation de la cybersécurité actuelle : Analysez la situation actuelle de votre cybersécurité pour identifier les domaines nécessitant une amélioration ou une mise à niveau en vue de la conformité à NIS 2.
- Mise en place d’une stratégie de cybersécurité complète : Développez ou mettez à jour votre stratégie de cybersécurité pour qu’elle englobe tous les aspects de votre système d’information, conformément aux exigences de NIS 2.
- Formation et sensibilisation des employés : Assurez-vous que vos employés sont bien informés des risques et des meilleures pratiques en matière de cybersécurité.
- Collaboration avec des experts en cybersécurité : Envisagez de travailler avec des fournisseurs de services de cybersécurité pour garantir une expertise et une assistance adéquates.
Digital Evolution : Votre partenaire pour la conformité à NIS 2
Chez Digital Evolution, nous comprenons les défis que NIS 2 présente pour votre entreprise. Nos services sont conçus pour vous aider à naviguer dans ce nouveau paysage réglementaire :
- Audits de cybersécurité : Nous évaluons votre infrastructure actuelle pour identifier les vulnérabilités et les domaines à améliorer.
- Développement de stratégies de cybersécurité : Nous travaillons avec vous pour élaborer une stratégie complète de cybersécurité, conforme à NIS 2.
- Sensibilisation : Nous effectuons des tests d’intrusion pour sensibiliser vos employés aux meilleures pratiques de cybersécurité.
Conclusion
La directive NIS 2 représente une évolution majeure dans la réglementation de la cybersécurité. Si votre entreprise relève de cette directive, il est crucial de commencer dès maintenant les préparatifs pour la conformité. Chez Digital Evolution, nous sommes là pour vous accompagner à chaque étape du processus. Contactez-nous pour en savoir plus sur nos services et comment nous pouvons vous aider à vous préparer pour NIS 2.