NIS2 est la deuxième version de la directive européenne sur la sécurité des réseaux et de l’information. Il s’agit d’une loi qui fixe des règles sur la manière dont les organisations de secteurs clés doivent protéger leurs systèmes et données numériques. Elle vise à améliorer la cybersécurité dans l’UE en veillant à ce que les services « essentiels » et « importants », tels que l’énergie, les transports, les soins de santé, les services bancaires et les services numériques, prennent des mesures claires pour prévenir les cyberincidents, les détecter rapidement et y remédier efficacement.

Le NIS2 s’applique aux moyennes et grandes entreprises des secteurs « essentiels » et « importants », c’est-à-dire ce que l’on appelle l’infrastructure critique.

Elle s’applique également à certaines organisations plus petites si elles fournissent des services critiques ou font partie de la chaîne d’approvisionnement des secteurs susmentionnés. Si votre organisation travaille dans les secteurs de l’énergie, des soins de santé, de l’infrastructure numérique, de l’eau, de la banque ou dans d’autres secteurs similaires, vous entrez probablement dans le champ d’application.

Retrouvez tous les secteurs couverts par le NIS2 dans cet article.

Les exigences minimales du NIS2 sont les suivantes :

• Politiques en matière d’analyse des risques et de sécurité des systèmes d’information.
• Procédures de traitement des incidents.
• Planification de la continuité des activités, y compris :
  • Gestion des sauvegardes
  • Reprise après sinistre
  • Gestion de crise
• Sécurité de la chaîne d’approvisionnement, couvrant les relations avec les fournisseurs directs et les prestataires de services.
• Sécurité dans l’acquisition, le développement et la maintenance des réseaux et des systèmes d’information, y compris le traitement et la divulgation des vulnérabilités.
• Politiques et procédures visant à évaluer l’efficacité de la gestion des risques liés à la cybersécurité.
• Pratiques de base en matière d’hygiène cybernétique et formation régulière à la cybersécurité
• Politiques et procédures relatives à l’utilisation de la cryptographie et du chiffrement.
• Sécurité des ressources humaines, politiques de contrôle d’accès et gestion des actifs.
• Utilisation d’outils d’authentification et de communication sécurisés, chaque fois que cela s’avère approprié, tels que
  • Authentification multifactorielle ou continue.
  • Communications vocales, vidéo et textuelles sécurisées.
  • Systèmes de communication d’urgence sécurisés.

Mesures de gestion des risques

Toutes les organisations doivent adopter une approche structurée des risques liés à la cybersécurité. Il s’agit notamment d’identifier les menaces éventuelles, de protéger les systèmes, de détecter les problèmes à un stade précoce et d’être prêt à réagir et à se rétablir. Ces mesures doivent inclure les exigences minimales mentionnées ci-dessus et couvrir les mesures de sécurité techniques et organisationnelles.

Responsabilité des dirigeants

Les cadres supérieurs sont directement responsables de la cybersécurité et les autorités leur demandent des comptes en cas de défaillance grave. Ils doivent approuver les stratégies de sécurité, s’assurer que les bonnes mesures sont en place et se tenir informés grâce à des formations régulières.

Rapport d’incident

Les organisations doivent signaler les incidents de sécurité importants à l’autorité nationale de cybersécurité (CSIRT).

Le NIS2 exige que tout le personnel concerné, y compris les dirigeants, reçoive régulièrement une formation de base à la cybersécurité (également appelée « cyberhygiène »).

Pour les dirigeants, la formation est obligatoire. Les membres de l’organe de direction doivent suivre des cours pertinents sur la gestion des risques liés à la cybersécurité et sont censés promouvoir la formation dans l’ensemble de l’organisation.

Il n’y a pas de règles strictes en matière de format ou de contenu, mais la formation doit correspondre au rôle des dirigeants dans l « évaluation des risques et la supervision des mesures de cybersécurité. L » équipe de direction, dans son ensemble, doit avoir les compétences nécessaires pour assumer les responsabilités en matière de cybersécurité dans le cadre de la NIS2.

Les formations pertinentes peuvent être des cours généraux de cybersécurité, des ateliers de gestion, des certifications de normes reconnues ou des formations internes destinées aux dirigeants.

Toutes les activités de formation doivent être documentées, par exemple au moyen d’un certificat ou d’une preuve écrite de participation.

Le NIS2 exige que le personnel reçoive une formation en cybersécurité adaptée à son rôle et à ses responsabilités. Toutes les organisations doivent disposer d’une politique claire pour s’assurer que les employés acquièrent les connaissances et les compétences nécessaires pour protéger les systèmes et faire face aux menaces numériques.

Le leadership joue un rôle central à cet égard. Ils doivent encourager activement le personnel à suivre une formation similaire à celle que suit la direction. Cela renforce le fait que la sensibilisation du personnel et l’adoption d’habitudes sûres relèvent de la responsabilité de la direction.

La formation doit être pratique et facile à mettre en œuvre, et couvrir des sujets tels que la détection du phishing, le traitement sécurisé des données, l’utilisation correcte des mots de passe et les mesures à prendre en cas d’incident. Elle peut être dispensée par le biais de l’apprentissage en ligne, d’ateliers ou de sessions internes.

L’accent doit être mis sur la création d’une culture où l’apprentissage et la sensibilisation sont permanents. Toutes les activités de formation doivent être planifiées, enregistrées et suivies afin de garantir leur efficacité.

Car même avec une technologie solide, l’erreur humaine reste l’un des plus grands risques. La formation aide le personnel à détecter rapidement les menaces et à agir de manière responsable. Pour les dirigeants, c’est une question de responsabilité. La formation montre aux autorités de réglementation que l’entreprise prend la sécurité au sérieux et qu’elle prend des mesures concrètes pour réduire les risques.

• Déterminez si l’organisation fait partie du champ d’application.
• Désignez une personne ou une équipe responsable de la cybersécurité.
• Examinez les politiques et les procédures en vigueur.
• Comblez les éventuelles lacunes en matière de sécurité.
• Mettre en place ou améliorer les plans de signalement et d’intervention en cas d’incident.
• Mettez en place des formations régulières à la cybersécurité.
• Documentez tout pour prouver votre conformité.
• Consultez votre autorité nationale de cybersécurité pour obtenir des conseils au niveau local.

La NIS2 et le RGPD sont des lois européennes différentes, mais elles se chevauchent, ce qui signifie que votre travail sur l’une peut soutenir l’autre. Toutes deux exigent une sécurité renforcée pour les données et les systèmes personnels, ainsi qu’une approche fondée sur les risques.

Par exemple, dans le cadre de votre mise en conformité RGPD, vous avez cartographié les flux de données personnelles et les actifs utilisés pour le traitement des données, que vous pouvez réutiliser pour cartographier les actifs et processus numériques pour NIS2.

De même, vos évaluations des risques en matière de protection des données à caractère personnel alimentent également les évaluations des risques de cybersécurité pour la fourniture de services essentiels, et votre plan de réponse aux incidents en vertu du RGPD peut servir de base à l’exigence NIS2 de détection, de signalement et de réponse aux incidents de sécurité.

Il est presque impossible d’être en conformité avec le RGPD sans que le personnel soit formé à la protection des données et à la sécurité de l’information, c’est pourquoi il couvre déjà les bases de la sécurité comme le contrôle d’accès et la sensibilisation au phishing. Cette formation peut être étendue pour répondre aux exigences du NIS2 sans trop d’efforts supplémentaires. Les politiques autour des contrôles d’accès, du chiffrement et des canaux de communication sécurisés soutiennent également les deux lois.

Vos efforts de mise en conformité RGPD et NIS2 doivent absolument être alignés pour éviter les doublons et réduire les coûts.