Contenu de la page :
Aperçu de la conformité NIS 2
La conformité NIS 2 consiste à appliquer la directive NIS 2 (sécurité des réseaux et des systèmes d’information) de l’Union Européenne visant à renforcer la cybersécurité des entités essentielles et importantes.
La directive NIS est entrée en vigueur en 2016. Son but précis était d’atteindre un niveau commun élevé de cybersécurité dans les États membres. Toutefois, des lacunes de mise en œuvre ont fragmenté les règles entre les États, accroissant les risques.
Pour combler ces lacunes, la commission a proposé une directive renforcée, plus stricte et précise. Le champ de la directive devait s’élargir à d’autres secteurs. La directive NIS 2 fut alors adoptée.
Examinons la différence entre NIS et NIS 2 :
| NIS | NIS 2 |
|---|---|
| Adoptée en 2016, axée sur l’amélioration de la cybersécurité dans l’UE pour les services essentiels (énergie, transport, banque, etc.). | Entrée en vigueur le 16 janvier 2023, avec un champ élargi et des mesures de sécurité plus strictes. Les États membres de l’UE devaient intégrer les exigences NIS 2 à leur législation nationale au 17 octobre 2024. |
| Le champ de NIS couvrait des secteurs comme l’énergie, le transport, l’eau, la santé et l’infrastructure numérique. | Le champ de NIS 2 s’avère plus vaste. Il est élargi pour englober d’autres secteurs comme les services publics et ceux d’infrastructure (par exemple, prestataires de services de centre de données, etc.). |
| Impose des exigences de sécurité de base aux opérateurs de services essentiels et aux fournisseurs de services numériques. | Ajoute des exigences de sécurité plus détaillées et complètes, notamment sur la chaîne logistique. |
| Oblige à signaler les incidents présentant un impact notable sur la continuité des services essentiels. | Exigences de notification des incidents renforcées, avec des délais plus stricts et des obligations d’information plus précises. |
| La mise en œuvre et l’application variaient sensiblement entre les États membres de l’UE. | Mécanismes d’application renforcés avec des pouvoirs accrus des autorités nationales. |
NIS 2 vise à combler les lacunes de la directive NIS initiale, assurant un niveau de cybersécurité supérieur et une application plus uniforme dans l’UE.
Raisons de l’importance de la conformité NIS 2
La mise en conformité NIS 2 est essentielle pour protéger l’infrastructure critique et maintenir la continuité d’activité. La non-conformité peut entraîner de lourdes amendes et une atteinte à la réputation. La directive NIS 2 énonce que les entités essentielles non conformes sont passibles d’amendes allant jusqu’à 10 millions d’euros ou 2 % de leur chiffre d’affaires annuel.
Explication des chapitres NIS 2
Examinons les dispositions et les exigences précises de NIS 2 en explorant ses chapitres :
Dispositions générales
La directive s’applique aux structures publiques et privées ; NIS 2 s’applique à certaines entités du secteur essentiel sans condition de taille. Ces entités sont considérées comme essentielles et importantes. Toutefois, NIS 2 harmonise les mesures de cybersécurité pour les entités essentielles et importantes, les obligeant à suivre les mêmes exigences de base. Les entités importantes opèrent dans l’alimentation, la santé, etc.
Conformément à NIS 2, si les mesures de gestion de la cybersécurité et les obligations de notification d’incident selon une législation sectorielle de l’Union (loi cadre de l’UE) s’alignent sur les exigences NIS 2, les entités de ce secteur doivent alors ne suivre que les mesures de gestion de la cybersécurité et les obligations de notification d’incident qu’impose la législation sectorielle.
NIS 2 fixe un cadre de base standard pour tous les États membres de l’UE. Les États membres peuvent établir une cybersécurité plus stricte au besoin, à condition de respecter les exigences de base actuelles.
Cadre de cybersécurité coordonné
Les États membres doivent désigner une ou plusieurs autorités compétentes en charge de la cybersécurité, avec des tâches de supervision sur leur territoire. Les États membres doivent aussi s’assurer que leurs autorités compétentes disposent de moyens adéquats.
Une équipe d’intervention en cas d’incident lié à la sécurité informatique (CSIRT) joue un rôle clé dans la gestion des incidents, collectant des informations et communiquant avec les acteurs. Elle analyse les menaces et les incidents, émet des avertissements en temps réel et transmet des données au réseau et aux autorités. Le coordinateur CSIRT désigné agit en intermédiaire de confiance, facilitant l’interaction entre la personne morale signalant une vulnérabilité et l’OEM.
Coopération au niveau de l’Union et international
Met l’accent sur le renforcement de la cybersécurité par une collaboration au national et international. Le groupe de coopération facilite le partage d’informations et de stratégies entre États membres.
Le réseau CSIRT comprend les CSIRT nationaux et de l’UE. Il échange des informations sur les capacités, les vulnérabilités, les incidents et les menaces. Pour lutter contre les cybermenaces, les CSIRT établiront de nouvelles méthodes de coopération opérationnelle, axées sur des alertes précoces, l’assistance en cas de cyberattaque et des plans de réponse aux menaces.
Mesures de gestion des risques de cybersécurité et obligations d’information
Les entités essentielles et importantes doivent signaler tôt les incidents marquants aux CSIRT ou aux autorités compétentes, au plus tard 24 heures après en avoir eu connaissance. Il existe différentes étapes de signalement comme alerte précoce, notification d’incident, rapport intermédiaire et rapport final.
Les États membres doivent s’assurer que les entités essentielles et importantes appliquent des mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées pour gérer les risques pesant sur la sécurité des réseaux et des systèmes d’information. Cela englobe des mesures de gestion des risques de cybersécurité, notamment des stratégies d’analyse des risques, de gestion des incidents, de continuité d’activité, de sécurité de la chaîne logistique et de développement de système sécurisé. D’autres mesures comprennent une évaluation de l’efficacité des mesures de gestion des risques de cybersécurité, des pratiques de base en matière de cyberhygiène, des stratégies d’utilisation du chiffrement, la sécurité des ressources humaines et l’authentification multifacteur.
Compétence et enregistrement
Fixe des règles sur la compétence et les procédures d’enregistrement pour les entités essentielles et importantes.
Énumère les critères pour que les entités déterminent le pays qui les supervise. Pour suivre ces entités, l’ENISA (Agence de l’Union européenne pour la cybersécurité) tient un registre de leurs informations. Les informations du registre incluent le nom de l’entreprise, son adresse, les coordonnées, etc. En outre, les entités doivent créer une base des données d’enregistrement de domaine indiquant les services DNS et les registres TLD. Cette base de données vise à renforcer la fiabilité des services de noms de domaine (DNS).
Partage d'informations
Les entités de l’Union européenne doivent échanger des informations sur la cybersécurité entre elles. Les États membres sont chargés de faciliter les échanges. Ils déterminent les informations partagées, les plateformes TIC et les outils utilisés, ainsi que les conditions de cette disposition. Les entités souhaitant se retirer d’un échange continu doivent aviser l’autorité compétente de l’État membre concerné.
La directive encourage toutes les entités de l’Union européenne à avertir les CSIRT ou les autorités compétentes des cybermenaces et des attaques sur une base volontaire.
Supervision et exécution
Les autorités compétentes du pays sont chargées de veiller au respect par les entités de la directive NIS 2. Des inspections sur site, des audits de sécurité ciblés et des audits ad hoc constituent les mesures de supervision de ces autorités compétentes que présente ce chapitre. Pour toute violation de la directive, des amendes administratives sont infligées aux entités. De plus, les autorités concernées peuvent solliciter l’aide de celles d’autres États pour superviser les entités opérant à l’international.
Actes délégués et actes d’exécution
La Commission européenne, en tant qu’organe exécutif de l’Union européenne, veille au respect des lois de l’Union dans ses pays. La Commission européenne a donc le pouvoir d’adopter des actes délégués. Ce pouvoir pourra s’exercer pendant une période de cinq ans à compter du 16 janvier 2023. Conformément à ce chapitre, le Parlement européen et le Conseil peuvent révoquer le pouvoir de la Commission à tout moment. La Commission européenne ne doit adopter un acte délégué comme demandé par la directive que si aucune objection n’est exprimée par le Parlement ou le Conseil. Elle doit aussi aviser ces organes dès qu’elle adopte un acte délégué.
Dispositions finales
Les pays de l’Union européenne devaient adopter et publier des mesures pour respecter la directive NIS 2 et en informer la Commission européenne au plus tard le 17 octobre 2024. Ils devaient aussi commencer à exécuter ces mesures dès le 18 octobre 2024.
La Commission européenne examinera le fonctionnement de la directive et rendra compte au Parlement européen et au Conseil d’ici octobre 2027. Cet examen devra être effectué ensuite tous les trois ans. Ce rapport inclut une évaluation de la pertinence de la taille des entités concernées et des secteurs, sous-secteurs et types d’entités au sens de cette directive pour le fonctionnement de l’économie et la société en termes de cybersécurité. Cela peut aussi comprendre des rapports du groupe de coopération et du réseau CSIRT.
Engagez votre processus dès maintenant !
Découvrez comment les solutions IAM et SIEM de ManageEngine vous aident à atteindre cette conformité
