Prix
Essai

Liste de contrôle des exigences du NIS2

La directive sur la sécurité des réseaux et de l'information 2 (NIS2) est une directive de l'UE concernant la cybersécurité des réseaux et des systèmes d'information.

Liste de contrôle des exigences du NIS2

La directive sur la sécurité des réseaux et de l’information (NIS2) est une directive de l’UE concernant la cybersécurité des réseaux et des systèmes d’information. Les organisations classées comme essentielles ou importantes dans la directive NIS2 doivent se conformer à ses règles.

Qui doit se conformer au NIS2 ?

Les organisations classées comme essentielles ou importantes sont essentiellement celles qui fournissent des services ou des produits dont dépend le bon fonctionnement de la société. Il peut s’agir d’organisations appartenant à des secteurs tels que les transports, l’approvisionnement en eau, l’approvisionnement en énergie, la gestion des déchets, etc.

En règle générale, seules les organisations classées comme essentielles ou importantes et employant au moins 50 personnes ou ayant un chiffre d’affaires annuel ou un bilan de plus de 10 millions d’euros sont soumises à la NIS2. Les organisations plus petites peuvent également relever de la NIS2 si elles revêtent une importance particulière pour la société ou l’économie, par exemple si elles sont le seul fournisseur d’un service essentiel.

Gestion des risques

L‘article 21, paragraphe 1, du règlement NIS2 vous oblige à adopter une approche fondée sur le risque et à mettre en œuvre les mesures de sécurité nécessaires pour protéger vos services importants en fonction du risque auquel ils sont exposés. Ce sont donc les circonstances spécifiques de votre organisation qui déterminent les mesures de sécurité que vous devez mettre en œuvre.

La gestion des risques devient donc le fondement de votre conformité au NIS2, et vous devez développer et mettre en œuvre une méthodologie d’évaluation des risques adaptée à votre organisation. Quelle que soit votre méthode d’évaluation des risques, vous devez mettre en œuvre les exigences minimales.

Configuration minimale du NIS2

L‘article 21, paragraphe 2, de la NIS2 contient une série d’exigences minimales que toutes les organisations doivent respecter, quelle que soit leur évaluation des risques. Vous trouverez ci-dessous une brève introduction à ces exigences minimales.

Politique de gestion des risques et de sécurité de l’information

Votre organisation doit disposer d’une politique de sécurité de l’information claire et fondée sur les risques. Cette politique définit le cadre de votre gestion de la sécurité et garantit que vos mesures sont adaptées à vos risques, à vos objectifs commerciaux et à vos obligations légales.

Lisez le guide NIS2 : Gestion des risques et politique de sécurité de l’information.

Traitement des incidents

Vous devez être en mesure de détecter les incidents, de les signaler et d’y répondre. Cela signifie que vous devez disposer de procédures claires pour identifier les incidents, analyser leur impact, rétablir les opérations et tirer les leçons de ce qui s’est passé afin d’éviter que des problèmes similaires ne se reproduisent à l’avenir.

Lisez le guide NIS2 : Gestion des incidents.

Continuité des activités

Le NIS2 exige que vous vous prépariez à des perturbations. La planification de la continuité des activités garantit que vos opérations essentielles peuvent se poursuivre en cas de crise et que les systèmes et les services peuvent être rétablis de manière contrôlée et en temps voulu.

Lisez le guide NIS2 : Continuité des affaires.

Sécurité de la chaîne d’approvisionnement

Vos fournisseurs et prestataires de services peuvent constituer un maillon faible s’ils ne sont pas gérés correctement. Vous devez évaluer les risques dans votre chaîne d’approvisionnement, définir des exigences de sécurité claires dans les contrats et vous assurer que les fournisseurs coopèrent avec vous en cas d’incident.

Lisez le guide NIS2 : Sécurité de la chaîne d’approvisionnement.

Acquisition, développement et maintenance

La sécurité doit être intégrée dans vos systèmes et services informatiques tout au long de leur cycle de vie, depuis l’acquisition et le développement jusqu’à l’exploitation quotidienne et l’élimination finale. Cela inclut l’application de correctifs, une configuration sécurisée et l’application de bonnes pratiques telles que la sécurité dès la conception (Security by Design).

Lisez le guide NIS2 : Acquisition, développement et maintenance.

Efficacité des mesures

Il ne suffit pas de mettre en place des mesures de sécurité, encore faut-il qu’elles fonctionnent. Vous devez régulièrement tester et évaluer l’efficacité de vos mesures, notamment au moyen de tests techniques, d’examens et d’audits, et les améliorer lorsque des faiblesses sont constatées.

Lisez le guide NIS2 : Efficacité des mesures.

Formation à la cyberhygiène et à la cybersécurité

Les pratiques de sécurité de base, telles que les correctifs, les sauvegardes, la protection contre les logiciels malveillants et l’authentification forte, doivent faire partie de vos activités quotidiennes. Vos employés ont également besoin d’une formation régulière pour comprendre les risques, suivre les meilleures pratiques et savoir comment agir en cas d’incident.

Lisez le guide NIS2 : Formation à la cyberhygiène et à la cybersécurité.

Cryptographie

Votre organisation doit protéger la confidentialité, l’intégrité et l’authenticité des données à l’aide de mesures cryptographiques solides. Cela signifie qu’elle doit établir des règles claires sur les normes de cryptage, la gestion des clés et l’utilisation sécurisée de la cryptographie en fonction de l’évaluation des risques et de la classification des actifs.

Lisez le guide NIS2 : NIS2 & Cryptographie.

Ressources humaines Sécurité, contrôle d’accès et gestion des actifs

Les personnes, l’accès et les biens sont au cœur de la sécurité. Vos employés doivent comprendre leurs responsabilités, l’accès doit être contrôlé et examiné, et vos actifs doivent être classés, suivis et protégés tout au long de leur cycle de vie.

Lisez le guide NIS2 : Sécurité des ressources humaines, contrôle d’accès et gestion des actifs.

Authentification multifactorielle et systèmes de communication d’urgence

Pour réduire le risque d’accès non autorisé, vous devez protéger les systèmes et les données critiques par une authentification multifactorielle. Vous devez également garantir une communication fiable à tout moment, y compris en cas d’urgence, en préservant la confidentialité, l’intégrité et la disponibilité.

Lisez le guide NIS2 : Authentification multifactorielle et systèmes de communication d’urgence.

NIS2 Gouvernance de la cybersécurité

Historiquement, les mesures de cybersécurité ont été négligées par la direction générale et laissées à la charge du personnel informatique.

L‘article 20, paragraphe 1, de la NIS2 change cette situation en exigeant que l’encadrement supérieur approuve les mesures de gestion du risque de cybersécurité prises par l’organisation. L’encadrement supérieur doit s’assurer que ces mesures sont suffisantes et efficaces pour réduire les risques à un niveau acceptable. Ils sont également tenus de superviser la mise en œuvre de ces mesures et peuvent être tenus pour responsables en cas de non-respect.

Lisez le guide NIS2 : NIS2 Cybersecurity Governance.

Formation à la gestion du NIS2

La NIS2 va plus loin à l’article 20, paragraphe 2, qui exige que les cadres supérieurs reçoivent une formation en matière de cybersécurité. Cette formation doit leur permettre d’identifier les risques, d’évaluer les pratiques de gestion des risques liés à la cybersécurité et de comprendre leur impact sur les services essentiels.

Lisez le guide NIS2 : Formation à la gestion du NIS2.

Obligations de déclaration

Votre organisation doit signaler au CSIRT national, dans les plus brefs délais, les incidents qui ont un impact significatif sur la fourniture de ses services critiques. Dans un premier temps, une alerte rapide peut être donnée dans les 24 heures et, dans les 72 heures, une évaluation initiale doit être communiquée. Un rapport d’incident final doit être remis au CSIRT dans un délai d’un mois à compter de l’incident.

L’organisme doit également informer les destinataires de ce service de la manière dont l’incident pourrait affecter la fourniture du service, et des mesures ou remèdes qu’ils pourraient prendre en réponse à l’incident.

Sanctions et responsabilité

Enfin, il est important de respecter les exigences du NIS2, car il s’agit d’une loi. Cependant, vous devez également savoir que les cadres supérieurs peuvent être tenus personnellement responsables du non-respect de la NIS2. Votre organisation peut se voir infliger une amende allant jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires mondial pour les organisations essentielles, et jusqu’à 7 millions d’euros ou 1,4 % du chiffre d’affaires mondial pour les organisations importantes.

Pour vous conformer au NIS2, vous trouverez une aide précieuse dans les guides mentionnés dans cet article.

Test RGPD

Voyez si vous connaissez bien le RGPD.

  • Vous répondrez à 13 questions sur le RGPD.
  • Cela ne prend que 1 à 2 minutes.
  • Les experts répondent généralement correctement aux 13 questions.
Début du test

Essai gratuit

Nous vous répondrons par e-mail dans les plus brefs délais.