MCA Logo
Intranet
Je postule

Saisissez l'opportunité pour bien protéger votre entreprise des risques Cyber avec SEC-IT

Préparez votre mise en conformité avec NIS2

La directive NIS2, initialement prévue pour entrer en vigueur prochainement, a été reportée à une date encore indéterminée. Ce délai inattendu offre aux entreprises une opportunité précieuse pour se préparer et se mettre en conformité avec les nouvelles exigences de cybersécurité.

 

1. Genèse de la Directive NIS 

La directive NIS (Network and Information Systems), introduite en 2016, a été la première législation de l'Union Européenne dédiée à la cybersécurité. Elle visait à renforcer la sécurité des infrastructures critiques, comme l'énergie, les transports et la finance, suite à une prise de conscience accrue des cybermenaces pesant sur ces secteurs. Cependant, face à l'augmentation continue des cyberattaques, notamment les ransomwares, et à l'évolution des technologies une mise à jour était nécessaire pour pallier les insuffisances de NIS1. C’est ainsi qu’est née NIS2, une directive qui vise à garantir une résilience renforcée des infrastructures essentielles. 

C’est dans ce contexte que NIS2 a été élaborée. Cette directive, qui prendra effet en octobre 2024, est une mise à jour majeure visant à mieux protéger les infrastructures critiques à travers des exigences plus strictes et une extension des secteurs couverts. 

 

2. Croissance des attaques 

Cette hausse témoigne de la menace croissante des cyberattaques, notamment des ransomwares et des attaques ciblant les infrastructures critiques, justifiant des mesures plus strictes comme celles introduites par NIS2.

La cybersécurité est devenue une préoccupation majeure, en particulier avec la montée en puissance des ransomwares. Selon les rapports, les cyberattaques se sont intensifiées tant en fréquence qu’en sophistication, affectant des infrastructures essentielles, les organismes publics et les PME/ETI. Par exemple, une attaque majeure a visé en juin 2024 le laboratoire britannique Synnovis, avec une demande de rançon de 40 millions de livres. L'attaque est emblématique de la vulnérabilité des services essentiels aux cybermenaces. 

Source : Panorama de la cybermenace 2023, ANSSI 

Les entreprises de secteurs critiques doivent non seulement faire face à des risques accrus mais également à des conséquences potentielles catastrophiques en cas de défaillance, d'où l'urgence d'une directive plus complète. 

3. NIS2 – Quelles sont les nouveautés ? 

NIS2 a été introduite pour remédier aux faiblesses de la première directive. Son objectif est d'assurer un niveau de sécurité plus homogène et renforcé dans l'ensemble de l'UE.  

Voici quelques-unes des nouveautés les plus marquantes : 

  • Extension du champ d'application : NIS2 inclut de nouveaux secteurs, comme les services postaux, la gestion des déchets, la production alimentaire, et les réseaux sociaux. 
  • Gestion du risque dans la chaîne d'approvisionnement : Les entreprises doivent désormais évaluer et sécuriser l’ensemble de leur chaîne d'approvisionnement, y compris les fournisseurs de services critiques. 
  • Renforcement des sanctions : Les pénalités pour non-conformité sont plus sévères, allant jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires global. 
  • Responsabilité de la direction : Les dirigeants des entreprises couvertes sont directement responsables de la gestion de la cybersécurité et peuvent être tenus personnellement responsables en cas de non-conformité​. 

 

4. Champ d'application – Qui est concerné ? 

Le champ d'application de NIS2 est considérablement élargi. En plus des entreprises de taille moyenne et grande des secteurs critiques, la directive impose des obligations de cybersécurité strictes aux sous-traitants, fournisseurs et employés des organisations critiques​. Cela signifie que la protection ne se limite plus uniquement à l’entreprise principale, mais englobe également tout l’écosystème d'acteurs impliqués, afin de garantir une résilience de bout en bout. 

 

Comparaison du Champ d'Application des Secteurs Couverts 

NIS2 ajoute des secteurs tels que la gestion des déchets, la production alimentaire, la fabrication de produits chimiques, ainsi que les services de réseaux sociaux et numériques​. 

 

Comparaison du Nombre d'Entités Concernées 

5. Quelles sont les obligations pour les entreprises concernées ?  

Les entreprises concernées par NIS2 doivent se conformer à plusieurs obligations spécifiques pour renforcer leur cybersécurité. Voici les principales obligations : 

1. Gestion des risques de cybersécurité 

Les entreprises doivent mettre en place des politiques robustes pour évaluer, prévenir et gérer les risques de cybersécurité. Cela inclut : 

  • L’analyse des risques et des vulnérabilités. 
  • La gestion des incidents de sécurité. 
  • La mise en place de mesures techniques et organisationnelles telles que l’utilisation du chiffrement, le contrôle d’accès, et la gestion des actifs​. 

2. Gestion de la chaîne d'approvisionnement 

NIS2 impose aux entreprises de sécuriser leurs chaînes d’approvisionnement. Elles doivent évaluer et gérer les risques liés à leurs fournisseurs et sous-traitants, en s’assurant que ceux-ci respectent également les normes de cybersécurité. 

3. Mesures de continuité d'activité 

Les entreprises doivent adopter des plans de continuité d’activité et de reprise après sinistre, garantissant la capacité de maintenir ou de rétablir rapidement leurs services essentiels en cas d’incident majeur​. 

4. Signalement des incidents 

Les entreprises doivent signaler les incidents de cybersécurité significatifs aux autorités compétentes dans un délai défini. NIS2 introduit des exigences plus strictes en termes de rapidité et de contenu des rapports sur les incidents​. 

5. Responsabilisation de la direction 

La direction des entreprises doit approuver les mesures de gestion des risques et s’assurer de leur mise en œuvre effective. Les dirigeants peuvent être tenus personnellement responsables en cas de non-conformité​. 

Ces obligations visent à renforcer la résilience des entreprises face aux cybermenaces et à garantir une cybersécurité plus homogène à travers l’UE. 

 

6. Des sanctions renforcées 

Les sanctions prévues par la directive NIS2 sont strictes : les entités essentielles risquent des amendes allant jusqu'à 10 millions d’euros ou 2 % du chiffre d’affaires annuel global, tandis que les entités importantes peuvent être sanctionnées à hauteur de 7 millions d’euros ou 1,4 % du chiffre d’affaires. De plus, la direction de l’entreprise peut être tenue personnellement responsable en cas de non-conformité, ce qui ajoute une pression supplémentaire sur la gestion des risques de cybersécurité​. 

 

7. Préparez-vous dès à présent avec SEC-IT 

SEC-IT, Filiale cybersécurité du groupe MCA est là pour vous accompagner.

Il est crucial pour les entreprises de commencer dès maintenant à se préparer à la mise en conformité avec la directive NIS2. La directive doit être transposée dans les législations nationales des États membres d'ici le 17 octobre 2024, avec une application à partir du 18 octobre 2024​. Compte tenu de l'ampleur des nouvelles obligations, telles que la gestion des risques de cybersécurité, la sécurisation de la chaîne d'approvisionnement et la responsabilité accrue de la direction, il est recommandé de prendre des mesures proactives dès que possible.  

Chez SEC IT, nous mettons à profit notre expertise pour aborder les risques de manière pragmatique et adaptée à la réalité terrain. Nous proposons une organisation opérationnelle durable, parfaitement alignée avec les moyens et les besoins de chaque structure. 

En cohérence avec les exigences de NIS2, notre gamme de services complète permet aux entreprises de se conformer aux nouvelles obligations de la directive : 

  • État des lieux NIS2 : Évaluation de la conformité aux exigences actuelles et plan de mise en conformité. 
  • Mise en place d’un cadre de sécurité : Élaboration d’une architecture de sécurité robuste. 
  • Conduite opérationnelle : Gestion des risques et des incidents au quotidien. 
  • Pilotage stratégique : Suivi et gestion des enjeux cyber à un niveau décisionnel. 

Cette approche assure à nos clients une transition fluide vers une conformité totale, tout en renforçant leur résilience face aux cybermenaces. 

Pourquoi choisir SEC IT? 

  • Expérience reconnue : Nous accompagnons avec succès les PME, ETI et organismes publics dans leur transition vers la conformité NIS2. 
  • Méthodologies éprouvées : Nos dispositifs ont fait leurs preuves dans le cadre des programmes France Relance Cyber et Diag Cyber PME, garantissant une approche solide et fiable. 
  • Accompagnement durable : Nous assurons un transfert de compétences et un suivi continu pour soutenir vos équipes dans la durée. 
  • Valorisation de l'engagement cyber : Notre savoir-faire spécifique aide nos clients à promouvoir leur engagement en cybersécurité auprès de leurs propres clients (B2B), renforçant ainsi leur image de marque. 
  • Objectivité et indépendance : Nous opérons en toute indépendance vis-à-vis des éditeurs, constructeurs et intégrateurs, garantissant des conseils objectifs et adaptés à vos besoins. 
  • Qualification PASSI* RGS : Cette certification reconnue atteste de notre expertise en matière de sécurité des systèmes d’information et de conformité réglementaire. 

En choisissant SEC IT, vous bénéficiez d’un partenaire de confiance pour naviguer dans l’univers complexe de la cybersécurité et garantir la conformité NIS2.