Conformité NIS2 : mise à jour pour 2024, guide complet

Fond bleu dégradé. Il y a un ovale orange clair avec le texte blanc « BLOG » à l'intérieur. En dessous, il y a du texte blanc : "Conformité NIS2 : mis à jour pour 2024, guide complet". Il y a un texte blanc en dessous qui dit "En savoir plus" avec une flèche orange clair pointant vers le bas.

Le plus Directive sur les systèmes d'information en réseau (NIS) a été publié en 2016 et exigeait que les secteurs des infrastructures critiques de l’UE satisfassent aux exigences de base en matière de conformité en matière de cybersécurité. En octobre 2024, la deuxième itération du Directive sur les systèmes d'information en réseau (NIS2) entrera en vigueur, ce qui augmentera considérablement le nombre d'entités tenues de se conformer en plus de créer des sanctions supplémentaires en cas de non-conformité.

Il est important de noter que la réglementation européenne fonctionne en obligeant les États membres à inscrire des exigences dans leurs propres lois. NIS2 est un règlement propagé par le Parlement européen exigeant que les États membres utilisent les exigences fondamentales contenues pour créer et maintenir leurs propres codes de lois qui seront basés sur et intégreront toutes les exigences trouvées dans NIS2. 

Nous commencerons par couvrir NIS avant de passer aux exigences mises à jour dans NIS2.

Objectifs clés de NIS2

Dans le cadre du NIS2, les organisations de l'UE couvertes seront tenues de répondre à des exigences de sécurité opérationnelle spécifiques, de signaler les incidents à leurs équipes nationales CSIRT et de créer une amélioration continue des procédures de sécurité. NIS2 introduit une responsabilité personnelle pour les « organes de direction » des entreprises qui ne s’y conforment pas et implique des amendes au plus élevé des montants suivants : 7,000,000 10 XNUMX soit XNUMX% du chiffre d'affaires brut.

Qu’est-ce que NIS ?

NIS signifie Network Information Systems Directive et était une loi de conformité de l'UE publiée en 2016 et entrée en vigueur le 10 mai 2018. NIS exigeait que les entités couvertes créent des processus et des pratiques de base en matière d'hygiène de cybersécurité. Le NIS était initialement destiné à s’appliquer aux infrastructures critiques (appelées « services essentiels ») et se concentrait sur la création d’exigences en matière de reporting ainsi que sur le renforcement de base du système. Dans le cadre du NIS, les organisations sont classées soit comme « essentielles », soit comme « fournisseurs de services numériques » ou « non couverts », avec des exigences spécifiques pour chacun. 

La directive exige que les organisations des États membres de l'UE publient des réglementations répondant aux normes suivantes pour les services essentiels :

Les États membres veillent à ce que les opérateurs de services essentiels prennent des mesures techniques et/ou organisationnelles appropriées et proportionnées pour gérer les risques posés à la sécurité des réseaux et des systèmes d'information qu'ils utilisent dans le cadre de leurs opérations. Compte tenu de l'état de la technique, ces mesures garantissent un niveau de sécurité des réseaux et des systèmes d'information adapté au risque présenté.

Les pays de l'UE ont été invités à créer des exigences juridiques supplémentaires pour les « fournisseurs de services numériques », dans lesquelles ils devaient disposer des éléments suivants :

(a) la sécurité des systèmes et des installations ;

(b) gestion des incidents ;

(c) gestion de la continuité des activités ;

(d) surveillance, audit et tests ;

(e) le respect des normes internationales.

De plus, les États membres ont dû exiger que les entités couvertes par le règlement signalent de manière proactive les incidents à l'équipe nationale de réponse aux incidents de sécurité informatique (CSIRT), qui fournirait des conseils en fonction de la gravité et de l'impact de l'incident.

NIS2 : Portée et mandat élargis

La directive (UE) 2022/2555 (NIS2) est la directive qui succède à la NIS et élargit considérablement à la fois les entités couvertes par la réglementation et les exigences spécifiques selon lesquelles les organisations doivent opérer. Comme la directive NIS originale, NIS2 est large et obligera tous les États membres de l’UE à mettre en œuvre leur propre version du règlement. Cependant, NIS2 est assez spécifique et les États membres de l’UE devront :

Veiller à ce que les entités essentielles et importantes prennent des mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées pour gérer les risques posés à la sécurité des réseaux et des systèmes d'information que ces entités utilisent pour leurs opérations ou pour la fourniture de leurs services, et pour prévenir ou minimiser les l'impact des incidents sur les bénéficiaires de leurs services et sur d'autres services.

NIS2 définit ensuite les exigences spécifiques que les États membres devront exiger des organisations couvertes, notamment :

Les mesures visées au paragraphe 1 reposent sur une approche tous risques visant à protéger les réseaux et les systèmes d'information ainsi que l'environnement physique de ces systèmes contre les incidents et comprennent au moins les éléments suivants:

(a) les politiques en matière d'analyse des risques et de sécurité des systèmes d'information ;

(b) gestion des incidents ;

(c) la continuité des activités, telle que la gestion des sauvegardes et la reprise après sinistre, ainsi que la gestion des crises ;

(d) la sécurité de la chaîne d'approvisionnement, y compris les aspects liés à la sécurité concernant les relations entre chaque entité et ses fournisseurs directs ou prestataires de services ;

(e) la sécurité dans l'acquisition, le développement et la maintenance des réseaux et des systèmes d'information, y compris la gestion et la divulgation des vulnérabilités ;

f) les politiques et procédures permettant d'évaluer l'efficacité des mesures de gestion des risques de cybersécurité ;

g) les pratiques de base en matière de cyberhygiène et la formation en cybersécurité ;

(h) les politiques et procédures concernant l'utilisation de la cryptographie et, le cas échéant, du cryptage ;

(i) la sécurité des ressources humaines, les politiques de contrôle d’accès et la gestion des actifs ;

(j) l'utilisation de solutions d'authentification multifacteur ou d'authentification continue, de communications vocales, vidéo et textuelles sécurisées et de systèmes de communication d'urgence sécurisés au sein de l'entité, le cas échéant.

Remarquez à quel point les exigences sont devenues spécifiques dans NIS2 par rapport au NIS d'origine, avec des détails spécifiques au niveau opérationnel étant précisés dans la réglementation. Des exigences supplémentaires pour les « fournisseurs de services numériques » seront explorées et intégrées ultérieurement.

NIS vs NIS2 : qu'est-ce qui est couvert ?

Dans le cadre du NIS, les deux principales catégories d'entités couvertes étaient les opérateurs de services essentiels (OES) et les fournisseurs de services numériques concernés (RDSP). Les REEI avaient des exigences supplémentaires par rapport aux OES. Le NIS établit un cadre permettant aux États membres d'identifier les REEI et les OES. L'Annexe II fournit une liste spécifique des entités couvertes comprenant :

  • Compagnies d'électricité
  • Compagnies pétrolières
  • Compagnies gazières
  • Transport aérien
  • Transport ferroviaire
  • Transport routier
  • Système de santé 
  • Services bancaires 
  • Marchés financiers
  • Approvisionnement en eau potable et en eau
  • Infrastructure numérique
Automate Your Threat Exposure Management

Integrate the world’s easiest to use and most comprehensive cybercrime database into your security program in 30 minutes.

NIS2 élargit considérablement le champ des entreprises couvertes par la loi en ajoutant une catégorie pour les « entités importantes » qui doivent également répondre à des exigences clés. Les secteurs nouvellement ajoutés comprennent :

  • La gestion des déchets
  • Raffinage de ressources
  • Fournisseurs de services informatiques et de sécurité
  • Services postaux et de courrier
  • Entreprises de produits chimiques
  • Transformation alimentaire
  • Organismes de recherche
  • Réseaux sociaux et fournisseurs numériques
Il y a trois colonnes, celle de gauche montrant différents secteurs, celle du milieu montrant NIS et celle de droite montrant NIS2. NIS et NIS2 couvrent les secteurs de la santé, de l'énergie, des services financiers et des infrastructures numériques couverts par les deux réglementations, notamment la fabrication, la gestion des déchets, les services informatiques et les services de sécurité informatique, la production et la distribution alimentaires, la recherche, les services postaux et les réseaux sociaux et numériques. Les fournisseurs sont couverts uniquement par NIS2.

Industries couvertes par NIS vs NIS2

NIS2 et gestion des risques de la chaîne d’approvisionnement

La gestion des risques de la chaîne d’approvisionnement est un élément essentiel de NIS2. Notamment, NIS2 va beaucoup plus loin que les autres réglementations en matière de cybersécurité en obligeant les entreprises à évaluer leurs prolongé chaîne d'approvisionnement et en outre que les organisations identifient groupe de neurones vulnerabilities related to third-party suppliers. Ideally you can identify a way to use a platform to funnel critical supplier vulnerabilities directly back into your own security program. >back into your own security program.

Les États membres veillent à ce que, lorsqu'ils examinent les mesures visées au paragraphe 2, point d), du présent article qui sont appropriées, les entités prennent en compte les vulnérabilités propres à chaque fournisseur direct et fournisseur de services et la qualité globale des produits et les pratiques de cybersécurité de leurs fournisseurs et prestataires de services, y compris leurs procédures de développement sécurisées. Les États membres veillent également à ce que, lorsqu'elles examinent les mesures visées dans ce point qui sont appropriées, les entités soient tenues de prendre en compte les résultats des évaluations coordonnées des risques de sécurité des chaînes d'approvisionnement critiques effectuées conformément à l'article

In addition organizations are mandated to consider risks related to their downstream supply chain, although without the requirement to identify specific vulnerabilities. While other requirements cover things like offboarding employees in a secure manner, NIST2 has a more “governance” focused approach that focuses on putting in place the proper pieces for a well managed security program.

Pénalités en cas de non-conformité au NIS2

NIS2 exige que les États membres de l’UE imposent de lourdes sanctions en cas de non-conformité. Les États membres sont tenus d'infliger une amende de 10,000,000 2 7,000,000 € soit 1.4 % du chiffre d'affaires annuel mondial pour les entités définies comme « critiques » et de XNUMX XNUMX XNUMX € ou XNUMX % du chiffre d'affaires mondial pour les entités. défini comme important.

Responsabilité de la direction de l'entreprise

Une approche de la cybersécurité impliquant directement les « organes de direction » des organisations est un élément clé de NIS2. L’UE tente clairement de créer une pratique juridique et commerciale qui oblige les PDG, les conseils d’administration et la haute direction à participer directement au plan de gestion des cyber-risques de l’organisation. États NIS2

Les États membres veillent à ce que les organes de direction des entités essentielles et importantes approuvent les mesures de gestion des risques de cybersécurité prises par ces entités afin de se conformer à l'article 21, supervisent leur mise en œuvre. et peut être tenu responsable des violations par les entités de cet article.

L’inclusion de la responsabilité personnelle de la direction constitue une rupture radicale avec les réglementations américaines en matière de cybersécurité et les précédentes réglementations européennes.

Qu'est-ce qui est inclus d'autre dans NIS2 ?

NIS2 ne se concentre pas uniquement sur les entreprises, mais vise également à garantir que les États membres de l’UE améliorent leur posture nationale en matière de cybersécurité. En conséquence, NIS2 intègre plusieurs exigences qui s’appliquent aux États membres de l’UE et visent à créer une défense plus collective.

NIS2 et exigences en matière de déclaration d'incidents

Le reporting étendu des incidents est un aspect essentiel de NIS2. En vertu de la réglementation, les organisations seront tenues de signaler les incidents dans les 24 heures et de fournir un rapport plus complet à la fin du troisième jour suivant l'incident.

Mandats des équipes du CSIRT

Les équipes CSIRT occupent une place centrale dans NIS2. Les équipes CSIRT des pays de l’UE sont chargées de servir de référentiel central pour les rapports d’incidents des entités couvertes. En outre, les équipes CSIRT sont chargées de fournir des conseils en matière d'incident aux entités couvertes qui leur signalent un incident. 

Base de données de vulnérabilité de l'UE

NIS2 vise non seulement à améliorer la cybersécurité des entreprises individuelles, mais également à créer une meilleure préparation de l'UE en matière de cybersécurité. À cette fin, NIS2 exige que l'UE crée une base de données de vulnérabilité contenant des informations permettant de cataloguer les données de vulnérabilité et de permettre un partage transparent entre les différents gouvernements nationaux.

L’essentiel : NIS2 et la cybersécurité d’entreprise

NIS2 va remodeler une grande partie du paysage de la cybersécurité de l’UE. L’UE pousse les organisations et les gouvernements nationaux à considérer la sécurité de l’information comme un élément essentiel de la sécurité nationale. NIS2 représente une rupture avec les précédentes réglementations européennes en matière de cybersécurité en exigeant une responsabilité personnelle des dirigeants d'entreprise, des exigences spécifiques que les entités couvertes doivent respecter et en exigeant une coordination sans précédent entre les gouvernements nationaux. 

Les exigences de la chaîne d’approvisionnement dans NIS2 sont également assez uniques. Exiger des organisations qu’elles identifient groupe de neurones Les vulnérabilités liées aux fournisseurs tiers représentent une rupture substantielle par rapport aux précédentes pratiques de gestion des risques de la chaîne d'approvisionnement qui nécessitaient généralement simplement d'évaluer les fournisseurs potentiels pour une cybersécurité adéquate.

NIS2 représente une amélioration significative de la réglementation européenne et mondiale existante en matière de cybersécurité, qui sera probablement encore renforcée dans les années à venir – en particulier pour les organisations classées comme fournisseurs de services numériques. Les organisations feraient bien d’adopter des régimes de cybersécurité robustes, défendables et agressifs qui leur permettent de démontrer une conformité proactive qui non seulement répond, mais dépasse les attentes des auditeurs.

Veuillez noter que ce blog n'est pas destiné à fournir des informations sur les exigences de base de NIS2 et ne remplace pas des conseils juridiques. Si vous êtes préoccupé par NIS2 ou si vous pensez que cela pourrait s'appliquer à votre organisation, nous vous encourageons à contacter un avocat qualifié.

Cybersécurité d'entreprise avec Flare

La fusée est un Gestion de l'exposition aux menaces (TEM) solution qui détecte automatiquement les menaces sur le Web clair et sombre et les canaux Telegram illicites qui font souffrir les organisations les violations de données. Our platform automatically monitors your and third-party organizations so you can act quickly on remediation based on our prioritized alerts.

With Flare Supply Chain Ransomware Exposure Monitoring, gain unique visibility and proactive security across your extended supply chain to efficiently mitigate threat exposures that exist within ransomware data leaks. Learn more by signing up for our essai gratuit.

Partagez cet article

Contenu similaire