Accompagnement à la mise en conformité NIS2
Simplifiez votre mise en conformité. Nous vous guidons pas à pas pour répondre aux exigences de la nouvelle Directive NIS2, et renforcant ainsi votre résilience en cybersécurité !
Qu’est-ce que la Directive NIS ?
La Directive NIS correspond à Network & Information Security. Elle a pour objectif de renforcer les mesures de sécurité numérique face au contexte croissants des cyberattaques, afin de donner un cadre commun à l’ensemble des pays de l’union européenne. A ce titre, la Directive s’applique à échelle européenne.
Depuis quand la Directive NIS2 est-elle applicable ?
La Directive NIS2 prend le relais à la suite de NIS1 et est applicable depuis octobre 2024.
Quelle est la différence entre NIS1 et NIS2 ?
Par rapport à NIS1, la Directive NIS2 est beaucoup plus stricte, avec des mesures de sécurité renforcées, un plan de gestion des risques, des tests de pénétration, notifications d’incident obligatoires et autres exigences de gouvernance… Alors que NIS1 concernait les Opérateurs de services essentiels (OSE) et Fournisseurs de services numériques (FSN), on parle désormais d’Entités Importantes (EI) ou Entités Essentielles (EE). Les sanctions en cas de non-respect sont également plus importantes.
Quelles organisations sont concernées par NIS2 ?
NIS 2 s’applique aux entités considérées comme essentielles (EE) et importantes (EI). Elle concerne donc des milliers d’entreprises et organisations ainsi que leurs sous-traitants.
Voici la liste des secteurs d’activité concernés :
→ Établissement de santé
→ Administration publique
→ Banque
→ Transport et spatial
→ Energie
→ Approvisionnement en eau potable et usée
→ Infrastructure numérique
→ Gestion des déchets
→ Industrie & chimie
→ Agroalimentaire
→ Télécommunication et plateforme de réseaux sociaux
→ Fournisseurs de services numériques
→ Services postaux
Parmi ces différents secteurs, seules sont concernées les organisations ayant un effectif > 50 collaborateurs et/ou un chiffre d’affaires > 10 millions d’euros annuel.
Quelques exceptions : prestataires de services de confiance, fournisseurs de service DNS, registres de noms de domaine de 1er niveau, fournisseurs de réseaux et télécommunication électroniques publiques ou accessibles au public, administration publique.
Comment être prêt pour NIS2 ?
1. Former l’ensemble du comité exécutif afin de responsabiliser l’équipe de direction
2. Identifier l’ensemble de vos risques numériques
3. Mettre en oeuvre un plan de gestion de ces risques
4. Intégrer la chaîne d’approvisionnement dans votre plan de prévention
5. Mettre en place des procédures précises pour être prêt en cas d’attaques
Quelles sont les 3 phases de mise en conformité à l'analyse de risque ?
Phase 1 : Cadrage, État des lieux & Analyse de risque
Cadrage et état de lieux, appréhension du contexte, du périmètre, des objectifs et des acteurs relatifs à la mise en œuvre du SMSI.
Etablissement d'un diagnostic de maturité du corpus documentaire à disposition ainsi qu'une analyse de risque.
Phase 2 : Mise à niveau documentaire
Identification et amélioration de la documentation jugée "non satisfaisante", étape dite de "build".
Correction, complétion et précision de la documentation pour répondre aux exigences de la réglementation NIS2.
Phase 3 : mise en œuvre (run) du SMSI et audit (si besoin)
Mise en œuvre de la réglementation, étape dite de « run » et réalisation d'un audit à blanc, à la demande du client.
Contrôle des points suivants :
• La directive est appliquée et répond à toutes les exigences réglementaires.
• Les procédures sont adoptées par les équipes et adaptées à la réalité du terrain (corrélation avec le contexte et le périmètre).
• L'amélioration continue de la cybersécurité est effective.
• Il produit les éléments de preuve attendus par la réglementation NIS2.
Quelles sont les sanctions en cas de non-respect de NIS2 ?
Pour les entités essentielles (EE) : 10 millions d’euros ou 2% du CA.
Pour les entités importantes (EI) : 7 millions d’euros ou 1,4% du CA.