4 septembre 2024 Par Stéphane Delhommeau, Responsable des services d’hébergement de Proginov La directive NIS2 de l’Union européenne constitue une avancée significative dans la protection des infrastructures numériques contre les cybermenaces en expansion. Elle élargit son champ d’application pour inclure de nouveaux secteurs et engage les entreprises à mettre en place des mesures de sécurité adaptées à leur taille et leur importance. Votre entreprise est-elle concernée par l’application de cette nouvelle norme ? Si oui, le rôle de votre DPO va être étendu au-delà du RGPD, vers la sécurité, conséquence de l’application de cette récente version de la directive européenne. La directive NIS 2 Commençons par un peu d’histoire. Comme son nom le laisse présager, NIS2 a été précédée de l’adoption de la directive NIS en 2016 par l’UE, puis de sa transposition en France en 2018. En 2022, est publiée NIS2. Elle prévoit des mesures visant à mieux protéger les réseaux et les systèmes d’information servant à fournir des services essentiels dans les secteurs clés de nos sociétés et renforce le cadre applicable en matière de cybersécurité par rapport à la norme précédente. En effet, elle élargit le champ d’application, renforce les obligations de sécurité, les règles/sanctions et la communication. Les 27 pays membres ont l’obligation d’intégrer ces mesures dans leurs législations nationales avant le 17 octobre 2024. En France, les travaux parlementaire sont en cours. Mon entreprise est-elle concernée ? NIS2 concerne des entreprises réparties en deux niveaux de criticité, les unes dites « essentielles », et les autres dites « importantes ». Cela représente plus de 10 000 entités sur 18 secteurs d’activité. C’est à chaque entreprise de s’autodéterminer selon les critères, pour évaluer si elle est concernée par la norme. L’arrivée des secteurs de l’agroalimentaire, de la chimie et des équipements médicaux contribue à l’augmentation importante du nombre d’entreprises désormais impliquées. Les mesures et les sanctions Les mesures portent sur : les systèmes de sécurité avec la détection et la centralisation des évènements (SIEM), ainsi que la sécurité des accès, MFA… (logiques et physiques) l’humain avec la sensibilisation des employés aux risques cyber et la gestion des accès, des entrées/sorties la continuité de service, avec la mise en place d’un PCA et d’un PRA, la gestion des sauvegardes, et la gestion de crise (procédures, liste du personnel essentiel, entraînements) la chaîne d’approvisionnement avec des questionnaires, des audits pour évaluer les risques pertinents, et l’intégration des clauses de sécurité liées à la cybersécurité dans les contrats avec les fournisseurs et les prestataires directs la communication et coopération, avec la mise en place d’une obligation de signaler à l’ANSSI sous 24 heures tout incident de sécurité dont l’impact est important. Ce signalement initial doit être complété par une notification puis deux rapports faisant état de l’évolution de la situation dans le mois qui suit. Les entités essentielles prises en défaut encourent la suspension de leurs certifications, l’interdiction temporaire de l’exercice des fonctions de leurs dirigeants, et 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial.Les entités importantes risquent, quant à elles, 7 millions d’euros ou 1,4 % du chiffre d’affaires annuel mondial. Pour s’informer, tester si son entreprise est concernée et s’évaluer, le gouvernement a mis en place le site dédié très utile Mon Espace NIS2 que je vous invite à consulter. Sa mise en œuvre peut constituer un défi « Si nous sommes tous convaincus que NIS2 est une vraie avancée pour améliorer le niveau de cybersécurité des organisations françaises, nous souhaitons tous éviter la surtransposition et l’inflation réglementaire et administrative » exprime Anne Le Hénanff, Présidente de la CNSP (Commission Supérieure du Numérique et des Postes) et Députée du Morbihan. En effet, il faut espérer que dans la transposition du texte, soit clarifié le champ d’application, et particulièrement les impacts sur la chaîne de sous-traitance. Il sera également nécessaire de trouver un équilibre entre la réalité de la capacité de mise en œuvre sur le terrain dans un contexte économique tendu, et l’application d’une réglementation collective utile. En tous cas, chaque entreprise concernée doit désormais se mettre en ordre de marche, c’est d’ailleurs le cas de Proginov qui entre dans le périmètre de NIS2. Comme certaines entreprises du secteur informatique, sa certification ISO 27001* lui permet d’avoir déjà mis en place la plupart des éléments exigés par la norme, comme le SIEM, le PRA ou le PCA. En revanche, si votre entreprise part de plus loin, il est important de se mettre en marche au plus vite. Le rôle du DPO (Délégué à la Protection des Données) sera primordial. Comme pour le RGPD, il devra travailler de concert avec le RSSI (Responsable de la Sécurité des Systèmes d’Information) de son entreprise. * Proginov est certifiée ISO 27001 pour la réalisation de prestations d’hébergement physique et d’infrastructures, et pour l’infogérance de plateformes, de l’ERP Proginov Santé et d’applications éditées par des tiers.