Directive NIS 2

Nos certifications
Directive NIS2

La directive NIS 2 vise à renforcer la cybersécurité dans l'Union européenne en harmonisant les exigences en matière de sécurité des réseaux et des systèmes d'information.

Elle s'applique à un large éventail d'entités, y compris les Opérateurs de Services Essentiels (OSE) et les Fournisseurs de Services Numériques (PSD). Nous rappelons que les OIV sont compris dans les OSE.

Elle est entrée en vigueur le 27 décembre 2022 et doit être transposée en droit national par les États membres au plus tard le 28 octobre 2024.

Exigences de la NIS 2

La directive NIS 2 impose un ensemble d'exigences en matière de sécurité aux opérateurs de services essentiels (OSE) et aux fournisseurs de services numériques (PSD). Ces exigences sont conçues pour améliorer la cybersécurité de ces entités et réduire le risque de cyberattaques.

Exigences générales

  • Mettre en place un programme de sécurité de l'information (PSI) complet.
  • Nommer un responsable de la sécurité de l'information (RSI).
  • Former le personnel en matière de cybersécurité.
  • Réaliser des tests de sécurité réguliers.
  • Mise en place de mesures de sécurité pour les données personnelles.

Exigences spécifiques pour les OSE

  • Identifier les actifs critiques.
  • Définir les scénarios de risques critiques.
  • Mettre en place des mesures de sécurité pour les actifs critiques.
  • Communiquer les incidents de sécurité aux autorités nationales de cybersécurité.

Exigences spécifiques pour les PSD

  • Mettre en place des mesures de sécurité pour les données des utilisateurs.
  • Mise en place d'une gestion des vulnérabilités.
  • Mise en place d'un processus de gestion des incidents.

Mesures à mettre en place

Concrètement, pour se conformer à la directive NIS 2, les OSE et les PSD doivent mettre en place les mesures de sécurité suivantes :

Mettre en place un programme de sécurité de l'information (PSI)

Un PSI est un ensemble de mesures et de procédures visant à protéger les systèmes d'information d'une entité. Il doit couvrir l'ensemble des actifs de l'entité, y compris les données, les applications, les systèmes et les infrastructures.

Nommer un responsable de la sécurité de l'information (RSI)

Le RSI est responsable de la mise en œuvre et de la maintenance du PSI. Il doit avoir les compétences et l'expérience nécessaires pour assurer la sécurité des systèmes d'information de l'entité.

Former le personnel en matière de cybersécurité

Le personnel de l'entité doit être formé aux bonnes pratiques en matière de cybersécurité. Cette formation doit couvrir les risques cyber, les mesures de protection et les procédures à suivre en cas d'incident de sécurité.

Mise en place de mesures de sécurité pour les données personnelles

Les OSE et les PSD doivent mettre en place des mesures de sécurité pour protéger les données personnelles qu'ils collectent et traitent. Ces mesures doivent respecter les exigences du règlement général sur la protection des données (RGPD).

Mise en place d'une gestion des vulnérabilités

L'entité doit mettre en place une gestion des vulnérabilités pour identifier et corriger les vulnérabilités de ses systèmes d'information. Cette gestion doit être adaptée aux risques spécifiques de l'entité.

Mise en place d'un processus de gestion des incidents

L'entité doit mettre en place un processus de gestion des incidents pour répondre rapidement et efficacement aux incidents de sécurité. Ce processus doit être adapté aux risques spécifiques de l'entité.

Réaliser des tests de sécurité réguliers

L'entité doit réaliser des tests de sécurité réguliers pour identifier les vulnérabilités de ses systèmes d'information. Ces tests doivent être adaptés aux risques spécifiques de l'entité.

Les tests de sécurité peuvent inclure des audits de sécurité, des tests d'intrusion et des tests de vulnérabilité.

Qui est concerné par la directive NIS 2 ?

La directive NIS 2 s'applique à un large éventail d'entités, y compris les Opérateurs de Services Essentiels (OSE) et les fournisseurs de services numériques (PSD).

OSE

Les OSE sont des entités qui fournissent des services essentiels à l'économie et à la société. Les entités appelées OIV, ou Opérateur d’Importance Vitale, sont ici comprises dans les OSE.

Ils comprennent les entités qui fournissent les services suivants :

  • L'électricité, l'eau et le gaz.
  • Les services de télécommunications.
  • Les services financiers.
  • Les services de transport.

Pour être considérées comme des OSE, les entités doivent répondre à l'un des critères suivants :

  • L'entité fournit un service essentiel qui, en cas de défaillance, entraînerait une perturbation significative pour l'économie ou la société.
  • L'entité dispose d'une infrastructure critique qui, en cas d'attaque, entraînerait une perturbation significative pour l'économie ou la société.

Voici quelques exemples d'entités qui sont considérées comme des OSE :

  • Les fournisseurs d'électricité, tels que EDF et Engie.
  • Les fournisseurs d'eau, tels que Veolia et Suez.
  • Les fournisseurs de gaz, tels que Engie et TotalEnergies.
  • Les fournisseurs de services de télécommunications, tels que Orange, SFR et Bouygues Telecom.
  • Les banques, telles que BNP Paribas, Société Générale et Crédit Agricole.
  • Les compagnies aériennes, telles qu’Air France-KLM et Lufthansa.
  • Les compagnies ferroviaires, telles que SNCF et Deutsche Bahn.

PSD

Les PSD sont des entités qui fournissent des services numériques d'importance pour l'économie et la société. Ils comprennent les entités qui fournissent les services suivants :

  • Les réseaux sociaux.
  • Les moteurs de recherche.
  • Les services de paiement.
  • Les services de cloud computing.
  • Les services de santé en ligne.
  • Les services d'éducation en ligne.

Pour être considérées comme des PSD, les entités doivent répondre à l'un des critères suivants :

  • L'entité fournit un service numérique qui, en cas de défaillance, affecterait un grand nombre d'utilisateurs finaux.
  • L'entité collecte ou traite des données personnelles de grande quantité ou de grande sensibilité.

Voici quelques exemples d'entités qui sont considérées comme des PSD :

  • Les réseaux sociaux, tels que Facebook, Twitter et TikTok.
  • Les moteurs de recherche, tels que Google et Bing.
  • Les services de paiement, tels que PayPal, Visa et Mastercard.
  • Les services de cloud computing, tels que Amazon Web Services, Microsoft Azure et Google Cloud Platform.
  • Les services de santé en ligne, tels que Doctolib et Qare.
  • Les services d'éducation en ligne, tels que Coursera et Udemy.

Sanctions de la directive NIS 2

La directive NIS 2 renforce les sanctions qui peuvent être infligées aux entités qui ne se conforment pas à ses exigences. Ces sanctions sont plus élevées que celles prévues par la directive NIS précédente.

Sanctions pour les OSE

Les OSE qui ne se conforment pas à la directive NIS 2 peuvent être sanctionnées par une amende d'un montant maximum de 10 millions d'euros ou de 2 % de leur chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu.

Sanctions pour les PSD

Les PSD qui ne se conforment pas à la directive NIS 2 peuvent être sanctionnées par une amende d'un montant maximum de 7 millions d'euros ou de 1,4 % de leur chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu.

Effets des sanctions

Les sanctions infligées aux entités qui ne se conforment pas à la directive NIS 2 peuvent avoir des effets négatifs sur ces entités, notamment :

  • La perte de confiance des clients et des partenaires peut avoir un impact négatif sur les activités commerciales des entités concernées. Les clients et les partenaires peuvent être moins susceptibles de faire affaire avec des entités qui ne sont pas conformes à la directive NIS 2.
  • Une baisse de la valeur boursière peut également avoir un impact négatif sur les entités concernées. Les investisseurs peuvent être moins susceptibles d'investir dans des entités qui ne sont pas conformes à la directive NIS 2.
  • Une augmentation des coûts de conformité peut également avoir un impact négatif sur les entités concernées. Les entités doivent investir des ressources financières et humaines pour se conformer à la directive NIS 2.

Un besoin d’un audit cybersécurité ?

Notre équipe d’experts en sécurité informatique est à votre disposition pour vous proposer l’audit cybersécurité le mieux adapté à votre problématique et à votre métier.

Votre satisfaction et votre sécurité sont nos priorités. Contactez-nous

Contactez-nous !

+33 1 85 09 15 09
Consulter notre politique de confidentialité & RGPD.