La directive NIS2 augmente les exigences minimales pour la sécurité IT de l’infrastructure critique, et affecte beaucoup plus d’organisations que la directive précédente. Quels modifications vous attendent ? Que devez-vous faire dès à présent pour être bien préparé ? Vous trouverez les réponses aux questions les plus importantes ci-dessous.
La directive NIS2 (Network and Information Systems 2, systèmes de réseau et d’informations 2) est un instrument juridique qui définit un objectif à atteindre par les pays de l’UE, et qui définit les exigences minimales pour la cybersécurité de l’infrastructure critique. À travers son déploiement, la Commission européenne a pour but d'améliorer le niveau de cybersécurité dans l’Union européenne et de renforcer la coopération internationale en combattant les cyberattaques. La NIS2 est en vigueur depuis le 16 janvier 2023. Les États membres doivent l’intégrer à leur législation nationale d’ici le 17 octobre 2024. La nouvelle directive concerne environ 30 000 organisations en Allemagne et introduit de nouvelles obligations.
La loi allemande sur le déploiement de la NIS2 (NIS2UmsuCG) est désormais disponible sous forme de deuxième ébauche au niveau du gouvernement. Cette ébauche est actuellement soumise au vote et doit ensuite passer par la procédure législative au niveau fédéral. la NIS2UmsuCG est un acte à usage multiple qui modifie les lois existantes concernant l’infrastructure critique (KRITIS) en Allemagne, en particulier la loi sur le Bureau fédéral pour la sécurité des informations (BSIG).
Pour pouvoir être bien préparées, les organisations doivent traiter le sujet dès à présent, au lieu d'attendre que l’ébauche soit finalisée. N’oublions pas que l'ajout de mesures de sécurité prend du temps, et que les ressources de conseil se raréfient généralement si tout est laissé à la dernière minute.
La directive NIS2 révise et remplace la directive NIS de 2016. Les modifications les plus importantes sont les suivantes :
Avez-vous des questions ?
Richard Werner,
Consultant commercial
Choisissez votre expert : Discutez de la NIS2 et de la cybersécurité !
Décidez par vous-même quel expert répond le mieux à vos besoins. Que vous ayez besoin d’un support stratégique ou technique, nous sommes là pour vous aider à assurer votre conformité à la NIS2.
Thomas Margner,
Responsable senior ventes de solution
Les organisations doivent déterminer elles-mêmes si elles sont concernées par la NIS2, et doivent s’inscrire auprès du BSI si besoin. Les critères sont les suivants :
Vous étiez déjà une infrastructure critique
Dans ce cas, vous êtes automatiquement concerné par la NIS2.
Vous êtes dans l’un des 18 secteurs
Et vous avez au moins 50 employés, avec un chiffre d'affaires annuel d'au moins 10 millions d’euros.
Différence entre les secteurs essentiels et ceux importants
La Directive NIS2 fait la différence entre les secteurs essentiels et ceux importants, ainsi qu’entre les secteurs de taille moyenne et de grande taille. Cette catégorisation affecte le niveau de sanctions et la supervision par les autorités.
Taille de l’entreprise
Les seuils suivants s'appliquent au sein des secteurs :
Cas spéciaux
Plusieurs cas spéciaux inclus dans la catégorie des secteurs essentiels sont concernés par la directive NIS2, quelle que soit leur taille. Il s'agit par exemple des fournisseurs de services de confiance qualifiés, des registres TLD et des fournisseurs de services DNS.
Si oui, vous êtes indirectement concerné par la NIS2, car la directive requiert que les fournisseurs d’infrastructure essentiels, ainsi que les secteurs importants et essentiels dans les 18 secteurs identifiés, tiennent compte de la cybersécurité dans leurs chaînes d'approvisionnement. Ceux qui souhaitent continuer à recevoir des commandes doivent partir du principe que les discussions sur la cybersécurité deviendront la norme dans les négociations de contrats à l’avenir.
La NIS2 met l’accent sur la gestion des cyber-risques qui fait partie de la gestion des risques d’entreprise, et à raison : les cyberattaques constituent le risque le plus important auquel font face les entreprises aujourd’hui. Il est particulièrement important d'assurer la continuité des activités dans l’infrastructure essentielle. C’est pour cela que la NIS2 attribue la responsabilité aux PDG : ils doivent soutenir les mesures pour la gestion des cyber-risques et surveiller l’implémentation. Les PDG qui ne remplissent pas leurs obligations en gestion des cyber-risques sont personnellement responsables des risques et/ou dommages associés.
Pour les PDG qui n’ont pas encore eu vraiment affaire à la cybersécurité jusqu'à présent, la gestion des cyber-risques est un nouveau domaine. Dans la pratique, avec la NIS2, les PDG doivent pouvoir identifier et évaluer les cyber-risques, et déterminer lesquels sont acceptables ou non pour l’organisation. Ils doivent donc tenir compte de la probabilité et de la portée attendue des dommages liés aux cyberattaques pour leur organisation. Une condition préalable essentielle est de mener des réunions régulières avec la ou les personnes responsables de la sécurité informatique. Néanmoins, selon une étude de Trend Micro, 51 % des équipes informatiques incluses dans l'étude discutent déjà des cyber-risques avec la direction une fois par semaine.
Les responsables de la sécurité IT sont ceux qui doivent relever le défi de déployer la directive NIS2. L’Article 21 de la directive répertorie les exigences minimales en matière de cybersécurité. En dehors de la gestion des cyber-risques, la liste comprend également la gestion de sauvegarde, la gestion des incidents, les politiques et les procédures concernant l’utilisation de la cryptographie, ainsi que le contrôle d'accès et la gestion des identités, par exemple. Mais il y une bonne nouvelle : si vous avez mis en place des bonnes pratiques de sécurité standard, vous pouvez déjà cocher un grand nombre d’exigences.
En matière de gestion des cyber-risques, les DSSI/responsables de la sécurité IT doivent pouvoir communiquer clairement avec la direction, à tout moment, sur l'état actuel des risques, les risques les plus urgents et les mesures que l’organisation doit prendre. La gestion des cyber-risques doit être effectuée en continu, car la surface d'attaque et l’environnement des menaces évoluent constamment.
Trend Micro prend en charge le déploiement de la NIS2 en fournissant la technologie de sécurité la plus avancée.
La gestion des cyber-risques simplifiée avec l’ASRM
L’ASRM (Attack Surface Risk Management, gestion des risques sur la surface d'attaque) par Trend Micro s'appuie sur l’IA pour calculer automatiquement le score de risque de votre environnement IT. Au cours de ce processus, la technologie étudie votre environnement du point de vue de l’attaquant : elle collecte les données internes auprès des capteurs connectés et les met en corrélation avec les informations de sécurité d’innombrables sources externes, notamment des publications d'agences gouvernementales, des organisations policières, des agences de sécurité et des analystes. Un tableau de bord fournit un aperçu, et les visuels avec les feux tricolores indiquent immédiatement le niveau de danger du risque calculé. L’ASRM vous alertera dès qu’un certain seuil est dépassé et vous montrera des détails, comme les types de systèmes concernés. Elle recommande également des contre-mesures et vous permet même de gérer les risques automatiquement.
Minimisez la portée des dommages avec la XDR
Il ne sera jamais possible d'éliminer tous les risques. Vous devez donc toujours tenir compte de l’éventualité d’une attaque, malgré la mise en place des meilleures mesures de sécurité. Pour minimiser l'étendue des dégâts, vous devez pouvoir détecter et arrêter tous les éventuels incidents qui se produisent. La meilleure façon d’y parvenir consiste à utiliser Trend Micro XDR (Extended Detection and Response, détection et réponse étendues). La XDR permet d’obtenir une grande transparence dans l’ensemble de votre environnement IT, collecte des informations sur la sécurité auprès de tous les systèmes connectés et utilise l’IA pour la mettre en corrélation avec des alertes exploitables. Cela réduit le nombre de faux positifs et vous permet de voir en un regard ce qui s’est passé, quels systèmes sont concernés et où une action est requise.
Comment l’ASRM et la XDR fonctionnent ensemble
L’ASRM et la XDR sont tous deux intégrés à la plateforme de cybersécurité Trend Vision One, qui permet de les surveiller et de les contrôler de manière centralisée. Les deux technologies accèdent aux mêmes capteurs et communiquent entre eux. Si l’ASRM détecte un risque, la XDR mènera l’enquête plus en détail. Si la XDR détecte des signes d’une cyberattaque, l’ASRM ajustera immédiatement le statut de risque. Ensemble, les deux technologies minimisent la probabilité d’une cyberattaque et l’étendue des dégâts.
Trend Micro reconnu leader
Forrester Wave™ : Endpoint Security, 4ème trimestre 2023
Trend Micro a reçu le meilleur score dans la catégorie Stratégie, avec les notes les plus élevées possibles en Innovation, Feuille de route et Adoption.
Pour vous assurer que votre organisation est conformé à la NIS2, vous devez bien connaître les exigences réglementaires, documenter les mesures prises et vérifier leur efficacité. Vous devez également fournir une formation pour sensibiliser les employés à la conformité NIS2. Si vous êtes affecté par une cyberattaque, vous devez avoir une procédure en place pour signaler l’incident en temps et en heure au BSI, sous 24 heures.
Les exigences finales en Allemagne ne deviendront claires que lorsque la loi allemande sur le déploiement de la NIS2 aura été votée. En attendant, il est recommandé de se familiariser avec l'état actuel de la législation concernant la loi allemande sur la sécurité IT.
Même si la législation allemande sur la NIS2 est toujours en attente, un élément est déjà clair : le RGPD sera supérieur à la NIS2. En cas d’incidents impliquant les deux lois, la gravité des pénalités s'appuiera sur le RGPD. Les amendes stipulées par le RGPD pour les violations particulièrement graves sont deux fois plus élevées et peuvent atteindre 20 millions d’euros ou 4 pour cent du chiffre d'affaires annuel mondial.
FAQ
Qui surveille le déploiement de la directive NIS2 ?
En Allemagne, l'autorité de supervision compétente est l’Office fédéral de la sécurité des technologies de l'information (BSI, Bundesamt für Sicherheit in der Informationstechnik). Tous les deux ans, les organisations classées en tant que secteurs essentiels ou fournisseurs d’infrastructure critique doivent démontrer au BSI qu’elles ont déployé les mesures de la NIS2. Après avoir inscrit une organisation, le BSI détermine quand le premier audit aura lieu, au plus tard quatre ans après l’entrée en vigueur de la nouvelle loi. Les audits sont menés par des auditeurs externes, avec un processus semblable à celui des audits précédents auprès des fournisseurs d’infrastructure critique. Si les auditeurs identifient des faiblesses, l’organisation est autorisée à les rectifier dans un intervalle de temps spécifié.
Quelles pénalités peuvent être imposées en cas de non-conformité à la directive NIS2 ?
Les organisations qui ne respectent pas les obligations imposées par la NIS2 seront soumises à des sanctions sévères. Le déploiement allemand de la directive précise les différentes amendes qui s'appliquent aux secteurs importants ou aux fournisseurs d’infrastructure critique, ainsi qu’aux secteurs essentiels. En cas d'infractions communes, les mêmes pénalités importantes s'appliqueront à tous les groupes.
Ressources pertinentes
Avez-vous des questions ?
Richard Werner,
Consultant commercial
Choisissez votre expert : Discutez de la NIS2 et de la cybersécurité !
Décidez par vous-même quel expert répond le mieux à vos besoins. Que vous ayez besoin d’un support stratégique ou technique, nous sommes là pour vous aider à assurer votre conformité à la NIS2.
Thomas Margner,
Responsable senior ventes de solution