[NEW] MYDATAMANAGEMENT POUR OPTIMISER VOTRE STOCKAGE MICROSOFT 365

Microsoft 365

26 juin 2023

Directive NIS 2 : quels changements à prévoir ?

Directive européenne NIS 2

La cybersécurité est un secteur qui ne cesse d’évoluer grâce à des solutions toujours plus innovantes pour les entreprises et institutions publiques. De nombreuses initiatives, lois, règles sont donc mises en place en France, comme en Europe. Parmi les initiatives européennes, la directive NIS (Network and Information Security) a été adoptée en 2016 avec pour objectif de créer, en Europe, un environnement digital fiable et sécurisé en matière de cybersécurité.

L'ANSSI (Agence nationale de la sécurité des systèmes d'information) est responsable du pilotage de la transposition de la directive NIS 2 et de son application en France. L'agence partagera régulièrement les résultats de ses travaux avec toutes les parties concernées tout au long du processus.

Au programme :

La directive NIS

La directive NIS (Network and Information Security) vise à renforcer la sécurité des réseaux et des systèmes d'information au sein de l'Union européenne. Elle impose des obligations aux fournisseurs de services essentiels (par exemple, les secteurs de l'énergie, des transports, de la santé) et aux opérateurs de services numériques (par exemple, les plateformes en ligne, les moteurs de recherche) pour assurer la protection de leurs réseaux et systèmes contre les cyberattaques.

Cependant, on y aperçoit des zones floues telles que :

  • La liste des systèmes d'information (SI) exemptés de cartographie et de déclaration
  • La profondeur et la durée des audits annuels
  • Le niveau acceptable d'alertes

La directive NIS 2 ambitionne donc de combler ces zones sombres.

 

Qui est concerné par la directive NIS2?


La directive NIS 2 s'applique aux entités, qu'elles soient privées ou publiques, qui fournissent des services ou exercent leurs activités au sein de l'Union Européenne, et ce, dans l'un des 35 secteurs énumérés dans les annexes I et II de la directive. La directive NIS 2 offre également aux États membres la possibilité de réguler les collectivités territoriales.

Les entités concernées sont qualifiées soit d'essentielles (indispensables au fonctionnement d'un État) telles que les banques, les marchés financiers, l'énergie, la santé, les transports..... soit d'importantes (comme une entreprise alimentaire). Ses entités doivent mettre en œuvre les mesures de la directive d'ici fin 2024 pour garantir la continuité de leurs services en cas d'attaque de leurs systèmes d'information OT et/ou IT.

Si votre entreprise est sur deux Etats membres de l'Union européenne, exerce une activité figurant dans les catégories d'entités énumérées dans les annexes I ou II, et que vous avez un effectif de 50 employés ou plus, ou que le chiffre d'affaires de votre entreprise dépasse les 10 millions d'euros, vous êtes concernés par la directive NIS 2.

 

Quels sont les changements apportés par NIS 2 ?

La directive NIS 2, qui entrera en vigueur au second semestre 2024 au plus tard, propose des changements importants par rapport à la directive NIS existante. Ces changements incluent : l'extension du champ d'application de la directive pour couvrir davantage de secteurs et de services numériques, l'introduction d'exigences supplémentaires en matière de cybersécurité (telles que la notification obligatoire des incidents de sécurité et des évaluations régulières de la sécurité) ainsi que le renforcement de la coopération entre les États membres de l'UE. 

La directive NIS 2 vise à améliorer la résilience des infrastructures critiques et à renforcer la capacité de réponse aux cyberattaques à l'échelle de l'Union européenne. Ces changements ont pour objectif de faire face aux défis croissants en matière de cybersécurité et d'assurer un niveau élevé de protection des réseaux et des systèmes d'information dans l'ensemble de l'UE.

Elle permet un renforcement des capacités de coopération à l’échelle européenne :  

  • Obligation pour les Etats membres de définir une stratégie nationale ;  
  • Obligation pour les Etats membres de désigner une autorité nationale compétente ; 
  • Mise en place d'un groupe de coopération stratégique et d’échange d’informations entre États membres ; 
  • Création du CSIRT (Computer Security Incident Response Team) Network. 

Elle cible les grands acteurs économiques du marché intérieur de l’UE au regard des impacts économiques et sociétaux des services fournis.

Ainsi, il y a une réelle nécessité de préciser le périmètre, les exigences de sécurité et les mécanismes de régulation en matière de cybersécurité : NIS 2 est donc plus prescriptive que NIS 1.

 

Préparer la mise en conformité

La directive NIS 2 a été officiellement publiée dans le Journal Officiel de l'Union européenne le 27 décembre 2022, établissant un délai de 21 mois pour que chaque État membre la transpose dans sa législation nationale conformément aux exigences réglementaires.

Ainsi, la mise en vigueur de NIS 2 en France est prévue au plus tard pour octobre 2024. Il est important de noter que la date d'entrée en vigueur ne coïncide pas nécessairement avec l'application complète de toutes les exigences réglementaires imposées aux entités régulées. Certaines exigences prendront effet immédiatement, tandis que d'autres seront soumises à des délais de mise en conformité.

→ IDECSI peut vous aider dans votre mise en conformité NIS 2

Préparez-vous à la mise en conformité NIS2 avec IDECSI

Pour en savoir plus sur la directive NIS 2, vous pouvez vous rendre sur le site de l'ANSSI

Nos articles

Ces articles peuvent
vous intéresser

Supervision des groupes et des liens de partages dans Microsoft 365
Microsoft 365
Sécurité / IT

Supervision des groupes et des liens de partages dans Microsoft 365

Lire l'article
Microsoft 365
Actualité IDECSI
Sécurité / IT
stockage

Sécurité et Gouvernance des données à l'ère de l’IA & Numérique Responsable

Lire l'article
Sécurité OneDrive : 3 points d'attention pour mieux maîtriser les données
Microsoft 365
Sécurité / IT

Sécurité OneDrive : 3 points d'attention pour mieux maîtriser les données

Lire l'article
Etude IFOP-IDECSI-CESIN : Sécurité des données au travail
Tendances
Sécurité / IT

Les salariés français et la sécurité des données

Lire l'article

Protection des données, discutons de votre projet ?

 

Contactez-nous
video background