Guide NIS 2 en ligne

Vous vous posez certainement plusieurs questions par rapport à la NIS 2 :

 

• Suis-je concerné par cette réglementation ?
• Quelles seront mes obligations ?
• Comment la NIS 2 a-t-elle été transposée dans mon pays ?
• Comment être conforme NIS 2 ? Qui pourra m’accompagner dans la mise en place de cette régulation ?

Ce guide SPAC Alliance est là pour vous aider à comprendre les enjeux liés à la NIS 2 et éclairer le chemin de la conformité, depuis l’audit jusqu’à la certification.

De la NIS 1 aux menaces hybrides

Près de 9 % des vols de données ont pour origine une défaillance de sécurité physique. Depuis les premiers textes dédiés à la cybersécurité, dont la NIS 1, les menaces n’ont cessé de se diversifier. Dorénavant, c’est le maillon le plus faible d’une chaîne de sécurité qui est ciblé, quel qu’il soit. Les menaces hybrides imposent une vision globale de notre protection. La NIS 2 est née d’un double constat :

• Il faut protéger plus d’entités
• Il faut les protéger mieux, sans distinction entre sécurité physique et cyber

L’impact croissant des attaques

Un vol de données ou une intrusion ont désormais un impact qu’il faut considérer à plusieurs niveaux, au-delà même des questions financières :

• Coût d’une éventuelle rançon (qu’il est fortement recommandé de ne jamais payer)
• Coût d’un arrêt de votre activité sur une période qui dépendra de la gravité de l’attaque
• Coûts liés à d’éventuelles poursuites judiciaires si votre responsabilité est engagée (vol de données à cause d’une protection insuffisante)
• Augmentation des primes d’assurance à la suite d’un cyber-incident
• Impact direct et à long terme sur votre image (perte de réputation et de crédit) au sein de votre écosystème : utilisateurs, partenaires commerciaux, banques et investisseurs ou encore salariés
• Impact d’une perte d’avantage concurrentiel : vol de résultats de recherches ou de technologies non brevetées, divulgation de plans stratégiques, copie de produit…
• Infection possible de tous les systèmes d’information liés au vôtre, dont ceux de vos fournisseurs et clients

Économie hyperconnectée et menace cyber omniprésente : tous les éléments sont réunis pour que des secteurs entiers soient menacés par un effet domino dévastateur, et plus seulement des acteurs indépendants. Cette mission, puisqu’il FAUT l’accepter, est plus que jamais collaborative.

Vers une sécurité de bout-en-bout

Voici un rappel de l’article 21 de la NIS 2 qui impose une « approche tous risques visant à protéger les réseaux et les systèmes d’information ainsi que leur environnement physique et comprend au moins » :

• L’analyse des risques
• La gestion des incidents
• La continuité des activités (dont les sauvegardes) et la gestion des crises
• La sécurité de la chaîne d’approvisionnement
• La sécurité des réseaux et des SI, y compris le traitement et la divulgation des vulnérabilités
• L’évaluation des mesures de gestion des risques
• La formation
• L’utilisation de la cryptographie et du chiffrement
• La politique de contrôle d’accès et la gestion des actifs
• L’utilisation d’authentification multi-facteurs ou d’authentification continue

Les articles 24 et 25 suggèrent aux États membres de prescrire et encourager l’utilisation de produits et services certifiés dans le cadre d’un schéma européen de certification, d’utiliser des services de confiance qualifiés, et de recourir à des normes et spécifications techniques européennes et internationales. Un texte complémentaire, la directive REC, concerne les entités les plus critiques d’Europe et ajoute d’autres aspects de la sécurité physique (menace terroriste, aléa climatique) ainsi que des obligations de supervision et de contrôle sont plus strictes afin de préserver les services les plus critiques. Ces entités critiques devront respecter des obligations qui s’ajoutent à celles de la NIS 2.

NIS 2 et REC ont la double ambition de relever et d’homogénéiser le niveau de sécurité des entités européennes avec des obligations proportionnées qui évolueront en fonction des menaces.

27 pays, 27 transpositions

La directive NIS 2 est en cours de transposition par chaque pays. Nous attendons donc autant de lois nationales et décrets d’application. De plus, un référentiel indique les objectifs à atteindre pour les entités en fonction de leur criticité, mais aussi de leurs ressources humaines et financières. Naturellement, quelques différences d’interprétation ou d’obligations selon les entités sont à attendre. Fort heureusement, une commission regroupant les agences nationales a pour mission de lisser ces différences dans le temps, débouchant sur une meilleure homogénéité. Pour accompagner ce travail, il sera pertinent de s’appuyer sur certaines normes concernant les schémas de certification (EN 17640 – FITCEM) et d’autres textes (comme le Cyber Resilience Act). Faute de cadre réglementaire dans votre pays, les références internationales comme l’ISO 27001:2022 et le NIST CSF 2.0 couvrent la plupart des problématiques et permettent dès maintenant de vous rapprocher, voire d’atteindre, les niveaux de sécurité attendus.

Le Shop SPAC Alliance regroupe les produits et services nécessaires pour viser la conformité et atteindre un niveau de sécurité adapté à vos besoins :

• Audits, tests de sécurité, mapping
• Formations
• Accompagnement à la certification CSPN, ISO 27001

Ces services sont exclusivement fournis par des membres SPAC Alliance !

Vous pouvez soumettre votre candidature pour devenir Membre SPAC Alliance, construire avec nous la souveraineté européenne et défendre les intérêts de notre marché. 

Le texte de la directive NIS 2 concerne un nombre important d’entités qui ont besoin d’un accompagnement adapté pour l’appliquer. Il peut être pertinent de s’y plonger afin d’identifier des points spécifiques à votre situation ou de comprendre l’état d’esprit de cette directive.

Par exemple, les annexes proposent un niveau élevé de détail des entités concernées par secteur et sous-secteur (Entités Essentielles et Entités importantes) en fonction de la criticité du secteur auquel elles appartiennent.

Le texte de la Directive pour la Résilience des Entités Critiques (REC)concerne les entités dont les services sont vitaux ou stratégiques pour le fonctionnement de la société.

Les entités critiques qui y sont définies doivent répondre à des objectifs plus larges en matière de sécurité physique, ainsi qu’à des obligations d’audits externes cycliques et de supervision par les autorités nationales