Qu’implique la directive NIS2 pour votre entreprise ?
Publié le 05/09/2024 dans Paroles d'experts
La directive NIS2 entrera en vigueur le 18 octobre 2024. Les entreprises doivent prendre des mesures adéquates pour garantir leur cybersécurité. Valéry Vander Geeten du CCB et notre expert Bart Callens vous expliquent comment vous y préparer.
Directive NIS2 : de quoi s’agit-il exactement ?
La directive NIS2 (directive (EU) 2022/2555 du 14 décembre 2022) impose aux organisations de se protéger contre les cybermenaces, en plus d’une protection rigoureuse des infrastructures critiques et données personnelles. Elle a pour but de renforcer la sécurité des réseaux et systèmes d’information afin de garantir la résilience en matière de cybersécurité de la société et de l’économie.
Une évolution de NIS1
Comme son nom l’indique, la directive NIS2 succède à la directive NIS1 de 2016 et comporte des différences significatives avec cette dernière. “NIS2 requiert qu’un nombre beaucoup plus important d’organisations implémentent un cadre global de gestion des risques en matière de cybersécurité”, explique Valéry Vander Geeten du Centre for Cybersecurity Belgium (CCB). “12 nouveaux secteurs viennent s’ajouter aux 6 de NIS1. Nous faisons une distinction entre les entités importantes et essentielles.”
Outre la nature des activités, l’envergure de l’entreprise est également prise en compte. NIS2 s’applique à certaines entités actives dans ces 18 secteurs à partir du moment où une entité emploie au moins 50 personnes ou réalise un chiffre d’affaires annuel (ou total du bilan annuel) de plus de 10 millions d’euros.
Valéry Vander Geeten
Head of Legal
Centre for Cybersecurity Belgium
Le fait qu’une entreprise ne réponde aux critères généraux du champ d’application de la loi ne signifie pas qu’elle soit automatiquement exemptée du respect des obligations NIS2.
Bart Callens, product manager cybersecurity Proximus NXT
La directive NIS2 peut vous concerner indirectement
NIS2 prévoit un cadre plus détaillé et ambitieux. “Une nouvelle mesure importante prévoit que les entités relevant de la directive NIS2 doivent veiller à la qualité de la cybersécurité de leurs fournisseurs et prestataires directs. La conséquence de cela est que même des entreprises hors du champ d’application de NIS2 vont être indirectement concernées par ces obligations légales”, avertit Valéry Vander Geeten.
Le management directement impliqué dans les directives NIS2
Bart Callens note que des entreprises interrogent souvent Proximus NXT au sujet des parties concernées de la chaîne logistique. “Le fait qu’une entreprise ne soit pas active dans l’un des secteurs repris dans les annexes de la loi ne signifie donc pas qu’elle devra ignorer ces exigences. Dans la pratique, un grand nombre d’entreprises devront être conformes.”
La directive NIS2 requiert des entités qu’elles mettent en œuvre une politique en matière d’analyse des risques et de protection des systèmes d’information. Ceci inclut également les formations du personnel en matière de cybersécurité. Cette obligation vaut en particulier aussi pour les membres des organes de direction.
“L’un des changements les plus notables concerne la responsabilité explicite imposée par NIS2 à la direction”, poursuit Bart. “Il est donc important pour les administrateurs de gérer proactivement leur cybersécurité et de rester vigilants face aux menaces potentielles.” Bart observe ainsi que NIS2 n’est pas qu’un projet IT ou de sécurité, mais implique l’ensemble de l’organisation, dont son niveau C.
Bart Callens
Product Manager Cybersecurity
Proximus NXT
Les entreprises ne doivent pas considérer NIS2 comme un fardeau. Cette directive est là pour les aider à renforcer leur résilience.
Valéry Vander Geeten, Centre for Cybersecurity Belgium
Les entités importantes et essentielles ont également un devoir de notification en cas d’incident ayant un impact significatif sur la fourniture de leurs services. “Une alerte rapide doit être envoyée sous 24h après la prise de connaissance de l’impact de l’incident, et la notification complète doit l’être dans les 72h”, souligne Valéry.
NIS2 renforce la résilience
Quel est, au juste, l’impact de NIS2 sur une organisation ? “Cela dépendra largement de la maturité déjà acquise en matière de sécurité. Les mesures de conformité à NIS2 que devra prendre une entreprise certifiée ISO 27001 dans son ensemble seront bien moins importantes que celles d’une entreprise dont l’approche en matière de sécurité est moins structurée”, clarifie Bart.
“Les entreprises ne doivent pas considérer ce processus comme un fardeau, car il les aidera justement à renforcer leur résilience face aux cyberincidents”, rappelle Valéry. Selon Bart, le sentiment des entreprises à l’égard de NIS2 a changé. “Au début, les choses manquaient de clarté : mon entreprise est-elle ou non concernée, et que dois-je faire ? À présent que le CCB a apporté des clarifications sur le cadre légal et mis à disposition des outils tels que le référentiel Cyberfundamentals Framework (CyFun®), de nombreuses entreprises considèrent NIS2 comme une étape importante vers une politique de sécurité optimisée.”
Un soutien externe
Il n’existe pas de réponse universelle à la question de savoir si, en tant qu’entreprise, vous devrez mener par vos propres moyens ce processus de conformité à la directive. “Tout dépend de vos capacités et connaissances internes, du temps dont vous disposez et des procédures déjà en place”, note Valéry. Bart approuve : “Le CCB propose, sur son site web, divers outils pour accompagner les entreprises (voir les 7 étapes pour se mettre en conformité).
Cela pourra représenter beaucoup de travail supplémentaire pour les CISO et CIO, mais vous pouvez aussi opter pour une approche spécifiquement calibrée pour votre entreprise. Ainsi, un soutien externe pourra s’avérer bien utile dans de nombreux cas.”
Proximus NXT réalise, avec ses clients, des évaluations NIS2 complètes. “Nous calculons le score de maturité actuel et proposons des actions en vue d’améliorer ce score, avec à la clé une feuille de route pratique et réaliste en vue d’une conformité à la directive NIS2 dans la période prédéfinie. Nous utilisons également cet exercice pour détecter et corriger d’autres points faibles.”
Proximus NXT réalise des évaluations NIS2 complètes en collaboration avec le client. « Nous calculons le score actuel de maturité en matière de sécurité et indiquons les actions à entreprendre pour améliorer ce niveau. Cela se traduit par une feuille de route pratique et réaliste vers la conformité NIS2, dans le délai imparti.
Si le client le souhaite, nous l'accompagnons et le soutenons tout au long de son parcours de conformité NIS2 et veillons également à ce qu'il reste conforme. Cet accompagnement est assuré par les experts NXT de Proximus forts de plusieurs années d'expérience en tant que CISO, via le service CISO-as-a-service. »
Attestation et sanctions NIS2
Les entités essentielles doivent faire régulièrement contrôler et évaluer par un organisme d’évaluation de la conformité leur implémentation de NIS2. Elles devront avoir obtenu le niveau CyFun basique ou important pour le 18 avril 2026, et le niveau essentiel (certification) pour le 18 avril 2027. Les entités importantes peuvent elles aussi se soumettre à une évaluation de conformité régulière. Une certification ou label permet une présomption de conformité, en cas de contrôle. S’il est constaté que la loi NIS2 est insuffisamment observée, des sanctions pourront être appliquées, comprenant diverses mesures et amendes administratives.
Le collaborateur, un maillon fort
Pour les cybercriminels, les collaborateurs d’une organisation restent une cible privilégiée. Ils sont donc souvent considérés comme le ‘maillon faible’. Mais les stratégies de sécurité modernes veillent à faire des collaborateurs le maillon le plus fort.
Experts
Nos experts vous tiennent au courant des dernières nouvelles et tendances pour les professionnels de l'ICT.