Estimation des entreprises qui seront concernées par NIS 2 et devront se mettre en conformité
Amende maximale en cas de non-conformité à NIS 2 pour toutes les entreprises auditées par an et par entreprise
Nombre de secteurs couverts par la directive NIS 2. Si votre entreprise travaille dans le secteur défini, elle doit être conforme à la norme NIS 2.
La directive NIS 2, une règle européenne actualisée en matière de cybersécurité introduite pour combler les lacunes de son prédécesseur, la NIS, a une portée plus large, englobant plus de secteurs qu'auparavant. Il vise à unifier les normes de cybersécurité dans toute l'UE et à introduire des sanctions plus strictes pour ceux qui ne s'y conforment pas.
La directive met l'accent sur une approche basée sur les risques, ce qui signifie que les organisations doivent protéger leurs systèmes en fonction des menaces potentielles. La collaboration est essentielle, car NIS 2 encourage le partage d’informations entre les parties prenantes. De plus, cela nécessite un reporting complet des incidents pour aider à comprendre et à contrer les menaces émergentes.
La directive NIS 2 étend la couverture des 7 secteurs d'origine de la directive NIS, en ajoutant 8 secteurs supplémentaires pour un total de 15 secteurs. Pour accéder aux informations NIS 2 spécifiques au secteur, cliquez simplement sur l'un des secteurs répertoriés ci-dessous.
NIS 2 classe les organisations en « entités essentielles » (EE) ou en « entités importantes » (IE). Les entités publiques ou privées de ces secteurs comptant plus de 50 salariés et un chiffre d'affaires annuel supérieur à 10 millions doivent déterminer leur groupe et suivre les règles y afférentes.
NIS 2 classe les organisations en « entités essentielles » (EE) ou en « entités importantes » (IE). Les entités publiques ou privées de ces secteurs comptant plus de 50 salariés et un chiffre d'affaires annuel supérieur à 10 millions doivent déterminer leur groupe et suivre les règles y afférentes.
Énergie
Couvre les secteurs énergétiques cruciaux de l’électricité, du pétrole et du gaz, soulignant leur importance dans les fonctions quotidiennes et la nécessité de la cybersécurité.
Transport
Se concentre sur les principaux modes de transport : aérien, ferroviaire, maritime et routier, en soulignant leur rôle dans la connexion des personnes et des lieux.
Soins de santé
Donne la priorité à la protection des établissements de soins de santé, englobant à la fois les hôpitaux publics et les cliniques privées, compte tenu de leur rôle dans le bien-être public.
Administration publique
Met l'accent sur la protection des services publics, reflétant l'engagement de la directive à garantir des fonctions administratives ininterrompues et sécurisées.
Infrastructure des marchés bancaires et financiers
Aborde l'épine dorsale de notre système financier, en mettant l'accent sur des domaines tels que les services de paiement qui facilitent les activités économiques.
Infrastructures numériques
Cible les services numériques fondamentaux, tels que ceux fournissant des registres DNS et TLD, en reconnaissant leur rôle dans l'écosystème numérique.
Approvisionnement en eau
Se concentre sur la préservation et la sécurité des systèmes d’eau potable et d’assainissement, qui sont vitaux pour la santé publique.
Espace
Met en lumière l’importance stratégique du secteur spatial, en garantissant qu’il répond à des normes élevées de cybersécurité compte tenu de son impact sur diverses technologies et services.
Fournisseurs publics de télécommunications et de FAI
Ceux qui proposent des réseaux et des services de communication accessibles au public, tels que les sociétés de télécommunications et les fournisseurs de services Internet.
Fournisseurs de services de confiance
Entités qui offrent des services de confiance numérique, garantissant l'authenticité des transactions et des communications électroniques.
Fournisseurs uniques d’un service critique
Des entités uniques qui sont les seules sources de services spécifiques et vitaux essentiels aux opérations ou aux infrastructures quotidiennes.
Registres TLD et fournisseurs DNS
Organisations gérant les listes de domaines de premier niveau et les systèmes dirigeant le trafic Internet vers les adresses correctes.
Bureaux d'enregistrement de noms de domaine
Entreprises qui supervisent la réservation des noms de domaine Internet, garantissant que chacun est unique et correctement attribué.
Entités cruciales pour la sûreté, la sécurité ou la santé
Organisations vitales dont la perturbation pourrait mettre en danger la sécurité publique, les mesures de sécurité ou les résultats en matière de santé.
Entités de l'administration publique centrale ou régionale
Principaux organismes gouvernementaux aux niveaux central ou régional, jouant un rôle central dans la gouvernance et l'administration publiques.
Toutes les autres entités si :
L'entité est le seul fournisseur dans un État membre d'un service essentiel au maintien d'activités sociétales ou économiques critiques ;
La perturbation du service fourni par l'entité pourrait avoir un impact significatif sur la sûreté publique, la sécurité publique ou la santé publique ;
Une perturbation du service fourni par l'entité pourrait induire un risque systémique important, en particulier pour les secteurs où une telle perturbation pourrait avoir un impact transfrontalier ;
L'entité est essentielle en raison de son importance spécifique au niveau national ou régional pour le secteur ou le type de service particulier, ou pour d'autres secteurs interdépendants dans l'État membre ; »
Si un État membre a défini cette entité comme une « entité critique » conformément à la directive (UE) 2022/2557 sur la résilience des entités critiques (CER).
Fournisseurs numériques
Englobant un large éventail de services numériques tels que les moteurs de recherche, les marchés en ligne et les réseaux sociaux, ce secteur joue un rôle central dans le monde interconnecté d'aujourd'hui.
Nourriture
Couvrant l'ensemble du spectre, de la ferme à l'assiette, ce secteur garantit que chaque étape, de l'agriculture et de la transformation à la vente au détail, est sûre et robuste.
Services postaux et de messagerie
En tant que bouée de sauvetage pour les communications et la livraison de marchandises, ce secteur doit maintenir une défense numérique fortifiée, garantissant des opérations cohérentes et sûres.
Organismes de recherche
En tant que pôle d’innovation et de progrès, ce secteur joue un rôle central, favorisant les avancées scientifiques tout en étant une cible potentielle pour les cybermenaces.
Produits chimiques
Ce secteur, vital pour la compétitivité industrielle de l'Europe, s'étend de la création à la distribution de produits chimiques, servant de socle à des solutions innovantes.
Fabrication
Un vaste domaine qui comprend la fabrication d'articles tels que les dispositifs médicaux, l'électronique, les machines, les véhicules et le matériel de transport, qui est au cœur des capacités de production de l'Europe.
Les organisations sous NIS 2 doivent mettre en œuvre de manière proactive des politiques et des mesures pour minimiser les menaces de cybersécurité.
Cela comprend un ensemble de mesures de base englobant l'analyse des risques, la réponse aux incidents, le cryptage, l'amélioration du contrôle d'accès et la résolution des vulnérabilités de leur chaîne d'approvisionnement TIC. En outre, les entités doivent entreprendre des évaluations de vulnérabilité pour garantir que les mesures correspondent à leur exposition aux risques potentiels et aux impacts sociétaux et économiques potentiels de ces menaces.
Responsabilité d'entreprise
NIS2 souligne que les organes de direction des entités concernées sont chargés de superviser et d’approuver les mesures de gestion des risques de cybersécurité. Ils devraient suivre une formation régulière pour identifier et évaluer les risques de cybersécurité et leur impact potentiel sur les services. De plus, les manquements pourraient engager la responsabilité de la direction, ce qui souligne la responsabilité accrue des entreprises dans le cadre de cette directive.
Programme de formation en gestion
Introduire une formation obligatoire sur la cybersécurité pour les dirigeants d’entreprise afin de les sensibiliser davantage aux cyber-risques, aux meilleures pratiques et aux politiques organisationnelles en matière de cybersécurité.
Comité de surveillance de la cybersécurité
Formez un comité de direction pour superviser les mesures de cybersécurité, élaborer des politiques et gérer les budgets de cybersécurité.
Rapports et atténuation des risques
Développer un mécanisme structuré permettant à la direction de rendre régulièrement compte des risques, des vulnérabilités et des stratégies d’atténuation en matière de cybersécurité.
Pénalités et incitations
Établir un cadre de sanctions en cas de non-conformité et d’incitations à une gestion proactive des risques de cybersécurité.
Audits de conformité en matière de cybersécurité
Réaliser régulièrement des audits pour évaluer le respect par la direction des politiques de cybersécurité et identifier les domaines à améliorer.
Obligations de déclaration
Les entités concernées sont tenues de signaler rapidement les incidents importants. Cela comprend une « alerte précoce » dans les 24 heures suivant la prise de conscience, suivie d'une notification complète de l'incident aux autorités nationales compétentes dans les 72 heures. Les utilisateurs concernés doivent également être informés rapidement, garantissant ainsi un processus de communication solide et transparent lors d'incidents de cybersécurité.
Plateforme de reporting d'incidents
Utilisez des systèmes permettant aux fournisseurs, vendeurs et clients de signaler efficacement toutes sortes d'incidents de cybersécurité.
Notifications d'incidents automatisées
Mettre en place un système automatisé pour transmettre les alertes et les notifications aux parties prenantes concernées, y compris les organismes de réglementation, dans les délais prescrits.
Lignes directrices sur la classification des incidents
Élaborer des directives claires pour catégoriser les incidents en fonction de leur gravité et de leur impact afin de garantir des rapports cohérents et des protocoles de réponse efficaces.
Documentation et processus de reporting des incidents
Établissez un processus détaillé pour documenter les détails de l'incident, les réponses et l'analyse post-incident afin d'améliorer l'apprentissage organisationnel et l'amélioration des réponses.
Équipes de réponse aux incidents
Formez des équipes spécialisées dotées des outils et de l’expertise nécessaires pour traiter et contenir rapidement les incidents de cybersécurité.
Continuité de l'activité
Face à des cyberincidents majeurs, les organisations doivent disposer d’un plan de continuité des activités. Cela implique des stratégies de rétablissement du système, des procédures d’urgence et la mise en place d’une équipe de réponse aux crises. L’accent est mis sur la garantie d’opérations commerciales ininterrompues et d’une reprise rapide après des événements de cybersécurité importants.
Redondance et sauvegarde
Mettez en œuvre des stratégies de redondance et de sauvegarde des données pour maintenir la disponibilité des données et la résilience du système pendant et après les cyberincidents.
Évaluation de l'impact sur les entreprises
Mener des évaluations approfondies pour identifier les systèmes et processus clés essentiels aux opérations lors de cyberincidents.
Plan de réponse aux cyberincidents
Élaborez un plan complet détaillant les procédures étape par étape pour la gestion des cyber-incidents, y compris les stratégies de communication, les tactiques de récupération et les rôles des équipes de réponse aux crises.
Formation de sensibilisation à la cybersécurité
Proposer une formation à l’échelle de l’organisation sur le plan de continuité des activités et les rôles des employés pour minimiser les perturbations lors de cyber-incidents.
Tests et exercices réguliers
Testez et effectuez périodiquement des exercices de simulation du plan de continuité des activités pour identifier les lacunes, améliorer l'efficacité de la réponse et garantir l'efficacité continue du plan.
Obtenez des mesures minimales de cybersécurité pour la conformité NIS 2
Les entreprises qui ne se conforment pas à la directive NIS 2 pourraient être confrontées à de lourdes sanctions allant de sanctions non pécuniaires à des amendes administratives substantielles. De plus, les cadres supérieurs peuvent être tenus personnellement responsables de toute non-conformité, ce qui souligne l’importance de la responsabilité en matière de cybersécurité au niveau organisationnel.
Le NIS2 fait la distinction entre les entités essentielles et importantes en matière d'amendes administratives. Les entités essentielles pourraient encourir des amendes de 10 000 000 € ou 2% de leur chiffre d’affaires annuel mondial, selon le montant le plus élevé. En revanche, les entités importantes s'exposent à des amendes allant jusqu'à 7 000 000 € ou 1,41 TP3T de leur chiffre d'affaires annuel global, toujours en fonction du montant le plus élevé.
Dans le cadre du NIS 2, les autorités de surveillance nationales peuvent imposer diverses sanctions non pécuniaires. Il peut s'agir d'ordonnances de conformité, d'instructions contraignantes, d'ordonnances d'audits de sécurité et de mandats de notification de menaces aux clients d'une entité.
NIS 2 rend la direction personnellement responsable, en transférant la responsabilité aux seuls services informatiques. En cas de non-respect, les autorités peuvent rendre publiques les violations, identifier le personnel responsable, tenir la direction responsable du manquement à ses obligations et, pour les entités essentielles, interdire temporairement à des personnes d'occuper des postes de direction après des infractions répétées.
Se lancer dans la démarche de conformité NIS 2 nécessite une approche structurée. Voici cinq étapes essentielles pour guider votre entreprise vers une adhésion réussie.
Déterminez si NIS 2 affecte votre organisation. Comprendre sa pertinence pour votre entreprise vous permet de vous concentrer sur ce qui compte vraiment. Mettez en évidence et hiérarchisez les services, processus et actifs critiques de votre organisation pour une approche ciblée.
Obtenez le soutien de la haute direction en sensibilisant aux sanctions et amendes NIS 2. Cela comprend des programmes de formation dédiés aux dirigeants sur la gestion des risques de cybersécurité et l’importance d’une culture orientée cyber.
Mettre en œuvre un système de gestion des risques et de la sécurité de l’information (ISMS). Examiner et adapter les 10 mesures de gestion des risques de cybersécurité obligatoires de NIS 2. Cela comprend la rationalisation des rapports d'incidents, l'amélioration de la sécurité de la chaîne d'approvisionnement et l'établissement d'un solide plan de continuité des activités.
Planifiez et budgétisez en conséquence, en vous concentrant sur les domaines présentant les cyber-risques les plus élevés. Cela implique d’allouer des ressources financières suffisantes aux efforts de cybersécurité, en gardant à l’esprit les sanctions plus sévères introduites par NIS 2 en cas de non-conformité.
Favoriser une culture d’amélioration continue. Évaluez et comblez régulièrement les failles de sécurité, restez informé des contrôles de sécurité attendus et bénéficiez des conseils d'experts si nécessaire. Assurez-vous que votre organisation reste agile et adaptative dans son parcours de conformité.
Rencontrez Matt et réservez un gratuit 15 minutes appelez ci-dessous pour mieux comprendre comment mettre en œuvre la conformité NIS 2 dans votre entreprise
Organisée par NIS2Compliant.org, cette page fournit des informations de source publique sur tout ce qui concerne la prochaine directive NIS2. Présenté de manière claire et concise pour une consommation facile.
Clause de non-responsabilité
Les informations fournies sur ce site Web sont uniquement destinées à des fins éducatives et informatives. Le contenu n'est pas destiné à remplacer un avis professionnel ou tout autre conseil, service juridique, etc. Les administrateurs et contributeurs du site ne font aucune déclaration ou garantie quant aux informations contenues dans le site. Toute confiance que vous accordez à ces informations est donc strictement à vos propres risques.
Copyright par Nis2Compliant.org
