Se préparer au mieux à la directive NIS2
La directive NIS2, réforme de l’édition de 2016 adoptée début 2023, entrera en vigueur le 17 octobre 2024. Elle vise à renforcer le niveau global de cybersécurité dans l’Union européenne en établissant un cadre normatif exigeant pour les entreprises et les organisations. Voici quelques éléments clés à retenir pour se préparer au mieux à cette échéance.
Points clés
- La directive NIS2 s’applique aux entreprises désignées comme des opérateurs de services “importants” ou “essentiels”, tels que les opérateurs d’infrastructures critiques nationales (ICN) qui pilotent des technologies d’exploitation (OT) et des systèmes industriels en réseaux.
- Les réglementations NIS2 ne concernent pas uniquement les services importants ou essentiels ; tous les risques de compromission d’un bout à l’autre de leur chaîne d’approvisionnement sont concernés.
- Les sous-traitants et les fournisseurs de ces entreprises doivent eux aussi observer les obligations de sécurité préconisées par NIS2, peu importe où ils exercent leur activité.
- Les différences majeures avec l’édition de 2016 comprennent l’élargissement à de nouveaux secteurs d’industrie, le renforcement des obligations déclaratives quant aux gestions de crise et réponses aux incidents, le renforcement des obligations et contrôles de sécurité et procédures, des sanctions plus lourdes en cas de défaut de conformité, et une responsabilisation accrue des membres de la direction en charge de la gestion des risques et de la gouvernance de l’infrastructure de l’entreprise.
- Les entreprises concernées doivent comparer les contrôles existants aux nouvelles obligations pour identifier les éventuels écarts, ou faire appel à des auditeurs indépendants qui vérifieront si l’ensemble des contrôles sont bien en place et s’ils sont conformes.
- La principale faille qu’il reste à combler concerne le phishing. Pour la plupart des entreprises, il s’agira alors d’instaurer le principe de moindre privilège et une meilleure gestion des identités.
- Les nouvelles préconisations de la directive NIS2 obligent à inclure les tierces parties dans la stratégie de sécurité des entreprises, qui devront imposer à leurs fournisseurs un degré de maturité minimum en matière de cybersécurité et seront responsables de les évaluer.
A retenir
Il ne reste que quelques mois aux entreprises concernées pour se conformer aux nouvelles obligations de la directive NIS2. Pour éviter de lourdes conséquences, sanctions financières et préjudice, il est essentiel de se préparer dès maintenant en identifiant les éventuels écarts entre les contrôles existants et les nouvelles obligations, en renforçant la gestion des identités et en incluant les tierces parties dans la stratégie de sécurité.
