Rechercher
Comment se conformer à la directive NIS2 ?

Renforcer votre cybersécurité avec la directive NIS2

3 minutes
Contrôle d'accès

La directive européenne NIS2 vise à renforcer et à harmoniser la cybersécurité européenne. Pour ce faire, elle impose de nouvelles obligations aux organisations importantes pour la société et l’économie. Ces mesures préventives ont pour but d’accroître la résilience de ces organisations face aux cyberattaques en exigeant une gestion rigoureuse des risques et en renforçant la sécurité des réseaux. Pour les responsables RH, cela implique de former les équipes, de mettre en œuvre des politiques de sécurité robustes et de garantir la conformité aux standards européens en matière de sécurité des réseaux.

Votre entreprise est-elle concernée ? Comment se mettre en conformité ? Protime vous explique tout !

Quelles entreprises sont concernées par la directive NIS2 ?

Tout comme la première directive NIS, la NIS2 vise à renforcer la cybersécurité à échelle européenne des organisations critiques, c’est-à-dire essentielles ou importantes pour la société et/ou l’économie. Là où la NIS2 va plus loin que la directive de 2016, c’est qu’elle étend le champ des organisations concernées. 

Ainsi, la directive européenne NIS2 s’applique :

  • aux organisations gouvernementales et aux entreprises ;
  • à des organisations qui ne répondent pas aux critères MAIS qui sont désignées par les autorités publiques comme importantes ou essentielles ;
  • à des organisations qui ne rentrent pas dans les critères de la directive MAIS qui emploient plus de 50 salariés OU qui réalisent un chiffre d’affaires supérieur à 10 millions d’euros et qui sont dès lors considérées comme importantes ;
  • éventuellement aux fournisseurs des organisations concernées par la NIS2.
Quelles entreprises sont concernées par la directive NIS2 ?

Quels secteurs sont concernés par la directive NIS2 ?

Secteurs hautement critiques (essentiels)

  • Énergie 
  • Transport
  • Banque et assurances
  • Infrastructures des marchés financiers
  • Santé (hôpitaux, laboratoires, fabricants de dispositifs médicaux et préparations pharmaceutiques, etc.)
  • Eau potable
  • Eaux usées
  • Infrastructure numérique
  • Gestion des services TIC
  • Administration publique
  • Espace
Quels secteurs sont concernés par la directive NIS2 ?

Secteurs critiques (importants)

  • Industrie manufacturière
  • Gestion des déchets
  • Services postaux et de messagerie
  • Industrie alimentaire
  • Chimie et pharmacie
  • Fournisseurs de services numériques
  • Recherche

Autres critères d’application pour la directive NIS2

Vous l’avez lu plus haut, la directive NIS2 va concerner bien plus d’entreprises que la NIS de 2016. Ainsi, même si votre entreprise n’appartient à aucun secteur important ou essentiel, elle pourrait devoir se conformer à la NIS2 dans certains cas :

  • si votre entreprise fournit une organisation concernée par la NIS2 ; ou
  • si votre entreprise est désignée par les autorités publiques ; ou
  • si votre entreprise emploie plus de 50 salariés ; ou
  • si votre entreprise réalise un chiffre d’affaires supérieur à 10 millions d’euros.
Quelles mesures prendre pour être en conformité avec la directive NIS2 ?

Quelles mesures prendre pour être en conformité avec la directive NIS2 ?

Les exigences de la NIS2 sont conçues pour améliorer la réactivité, l’efficacité et la résilience des organisations critiques en cas de cyberattaque. Les mesures imposées sur tout le territoire de l’UE vont ainsi uniformiser les normes de cybersécurité européenne.

En résumé, les mesures exigées par la NIS2 vont permettre à toute organisation critique d’être de nouveau opérationnelle au plus vite en cas de violation de sa cybersécurité.

Ces mesures techniques et opérationnelles concernent :

  1. La gestion des risques
  2. La responsabilité d’entreprise
  3. L’obligation de signalement
  4. La continuité d’activité

Elles se concrétisent dans dix mesures de base à prendre :

  1. Politique d'analyse des risques et sécurité des systèmes d'information.
  2. Traitement des incidents.
  3. Poursuite des activités (gestion des sauvegardes, reprise après sinistre, gestion de crise, etc.).
  4. Sécurité de la chaîne d'approvisionnement.
  5. Sécurité dans l'acquisition, le développement et la maintenance des réseaux et des systèmes d'information.
  6. Utilisation de l'authentification multifactorielle ou de solutions d'authentification continue.
  7. Politiques et procédures relatives à l'utilisation de la cryptographie et du cryptage.
  8. Pratiques d'hygiène cybernétique élémentaires et formation à la cybersécurité.
  9. Sécurité du personnel, politique de contrôle d'accès et gestion des actifs.
  10. Politiques et procédures visant à évaluer l'efficacité des mesures pour l'évaluation de la gestion des risques liés à la cybersécurité.

Exemple : l’importance du contrôle d’accès pour la cybersécurité européenne

Les exigences de directive NIS2 vont renforcer la sécurité des réseaux. Cela implique des mesures techniques, informatiques. Cela passe également par la sécurité physique, comme on le voit dans la neuvième mesure ci-dessus. 

Imaginons le site d’exploitation d’un laboratoire pharmaceutique. Beaucoup de visiteurs, fournisseurs et autres clients vont et viennent chaque jour en plus des nombreuses personnes salariées. Et si une personne mal intentionnée se glissait dans ce flux et parvenait à entrer dans la salle des serveurs ? On imagine facilement les conséquences catastrophiques d’un tel événement.

Cet exemple montre en quoi la cybersécurité passe aussi par la sécurité physique, le contrôle des accès. Et vous pouvez compter sur les solutions Protime pour renforcer votre contrôle d’accès et vous mettre aux normes NIS2 ! Par exemple, Protime vous propose des badges d’accès sécurisés personnalisés (pour les employés, les sous-traitants, les fournisseurs, etc.) ou encore un kiosque d’enregistrement numérique des visiteurs avec génération d’un QR code pour fournir un accès spécifique limité dans l’espace et le temps. Ainsi, vous limitez l’accès aux zones critiques et vous savez à tout moment qui se trouve sur votre site, avec précision.

Que signifient concrètement les mesures préventives de la directive NIS2 pour votre entreprise ?
Protime y répond dans un webinaire informatif et pratique, étayé d’exemples parlants.
Je regarde le webinaire NIS2