Soumettez vos questions ci-dessous, et nous fournirons des réponses publiquement sur cette page (sans divulguer aucune de vos informations) et vous enverrons un e-mail avec la réponse.
Nous publions uniquement les questions et réponses publiquement, sans divulguer aucune information sur l'entreprise.
Nos FAQ sont constamment mises à jour avec les dernières questions que vous publiez
Quels secteurs sont impactés par NIS 2 ?
La directive NIS2 vise à renforcer la prestation de cybersécurité des services et industries clés dans les pays de l’UE. Même si les mécanismes spécifiques de mise en œuvre de cette directive doivent être décidés État par État (et à ce titre, nous recommandons toujours de demander conseil sur les critères, inclusions, exclusions et sanctions au sein de votre propre État), les secteurs L’impact de NIS 2 sera largement uniforme sur l’ensemble de sa portée.
Entités essentielles et importantes : quelle est la différence ?
NIS2 sépare les services et les industries relevant de sa compétence en essentiels (secteurs de haute criticité) et importants (autres secteurs critiques). Dans la perspective de la mise en œuvre de NIS 2, vous les verrez probablement mentionnés des deux manières.
En pratique, cette différenciation entre les deux groupes porte sur l’impact sociétal des secteurs associés et les conséquences potentielles d’une cyberbrèche ou attaque. Par conséquent, les entités essentielles sont plus susceptibles d’être soumises à une surveillance gouvernementale plus stricte afin d’assurer leur conformité, avec des sanctions plus sévères en cas de non-conformité.
Quelles entreprises sont exemptées de NIS 2 ?
S'il vaut la peine de prendre note des exigences de NIS 2 et de donner la priorité à une solide hygiène de cybersécurité, quelle que soit la taille de votre entreprise, il est important de comprendre que toutes les organisations, et même toutes celles qui appartiennent aux secteurs ci-dessous, ne sont pas soumises aux exigences de la norme NIS 2. Directive NIS2.
De manière générale, seules les entreprises de taille moyenne ou supérieure seront tenues de se conformer à la norme NIS 2.
Toutefois, veuillez noter que même si les secteurs ont été regroupés selon des critères généraux en fonction de leur taille, si une entité ne répond pas aux exigences de ces seuils de taille, elle peut néanmoins être considérée comme importante ou essentielle (et soumise à la conformité NIS 2) dans des domaines spécifiques. circonstances, par exemple lorsque l'organisation est le seul fournisseur de ses services respectifs dans son État membre de l'UE.
Seuils de taille
Les entités essentielles sont soumises à un seuil de taille général qui, bien que variant selon les secteurs, inclut généralement les organisations comptant : 250 employés et plus, un chiffre d'affaires annuel de 50 millions d'euros et plus, ou un bilan de 43 millions d'euros et plus.
Les entités importantes sont également soumises à un seuil de taille basé sur les mêmes critères, variant là encore selon le secteur, mais à un seuil inférieur. Cela inclura les organisations comptant : 50 employés et plus, un chiffre d'affaires annuel de 10 millions d'euros ou un bilan de 10 millions d'euros ou plus.
Quels secteurs sont impactés par NIS 2 ?
Toutes les industries et tous les secteurs ne seront pas soumis à la conformité NIS 2.
La directive vise à renforcer la résilience des réseaux et des systèmes d’information dans toute l’Union européenne, en se concentrant spécifiquement sur les fournisseurs de services de base (ou essentiels et importants). Son objectif est de garantir que les normes communes de cybersécurité soient respectées dans tous les États membres et que les services clés restent solides et fonctionnels en cas d’attaque.
Dans cette optique, NIS 2 aura un impact sur les secteurs suivants, qui ont été décomposés en Essentiel et Important :
Entités essentielles (secteurs de haute criticité)
Énergie – Électricité, chauffage et refroidissement urbains, pétrole, gaz, hydrogène
Transport – aérien, ferroviaire, maritime, routier
Bancaire
Infrastructures des marchés financiers
Santé
Eau – Eau potable, eaux usées
Infrastructure numérique
Gestion des services TIC (B2B)
Administration publique
Espace
Entités importantes (autres secteurs critiques)
Services postaux et de messagerie
La gestion des déchets
Fabrication, production et distribution de produits chimiques
Production, transformation et distribution de produits alimentaires
Fabrication – dispositifs médicaux, produits informatiques, électroniques ou optiques, machines, véhicules
Fournisseurs numériques
Recherche
La directive NIS 2 place la surveillance et l'application des règles au cœur des responsabilités des autorités compétentes et établit un cadre cohérent pour les activités de surveillance et d'application dans l'ensemble des États membres.
À cette fin, il fournit une liste minimale de mesures de contrôle permettant aux autorités compétentes de renforcer leur surveillance des entités essentielles et importantes pour une conformité efficace. Ces mesures comprennent :
audit régulier et ciblé
contrôle sur place et hors site
demande d'information
accès aux documents ou aux preuves.
De plus, NIS 2 établit une différenciation des régimes de surveillance entre les entités essentielles et importantes afin de garantir un juste équilibre des obligations.
NIS 2 introduit également un cadre cohérent pour les sanctions dans toute l'Union afin de rendre leur application efficace. En complément, elle présente une liste minimale de sanctions administratives en cas de manquement aux obligations de gestion et de déclaration des risques de cybersécurité, notamment :
Instructions contraignantes.
Arrêté de mettre en œuvre les recommandations d’un audit de sécurité.
Ordonnance de mise en conformité des mesures de sécurité avec les exigences du NIS.
Amendes administratives.
De plus, NIS 2 distingue les entités essentielles et importantes pour les amendes administratives :
Entités essentielles : maximum d'au moins 10 000 000 € ou 2% du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu.
Entités importantes : maximum d'au moins 7 000 000 € ou d'au moins 1,41 TP3T du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu.
Les autorités compétentes devraient prendre en compte les détails spécifiques de chaque cas lorsqu'elles exercent leurs pouvoirs d'exécution, y compris la nature et la gravité de la violation ainsi que les éventuels dommages ou pertes subis. La directive NIS 2 tient également les personnes physiques occupant des postes de direction au sein des entités couvertes comme responsables des mesures de cybersécurité.
La directive NIS 2 interagit avec la directive CER et la DORA, deux autres politiques de l'UE.
Les directives NIS2 et CER ont été alignées pour aborder de manière globale la résilience physique et cybernétique des entités critiques. Les entités critiques identifiées dans le cadre de la directive CER seront également soumises aux obligations de cybersécurité de la directive NIS 2.
Les autorités nationales compétentes au titre des deux directives doivent coopérer et échanger régulièrement des informations sur les risques et les incidents.
Le groupe de coopération NIS 2 se réunira régulièrement avec le groupe de résilience des entités critiques. La DORA s'applique aux obligations de gestion et de reporting des risques de cybersécurité du secteur financier, et permet la participation au groupe de coopération NIS ainsi que la consultation et le partage d'informations avec les SPOC et CSIRT NIS2.
NIS 2 renforcera et rationalisera les exigences en matière de cybersécurité pour les entités couvertes en exigeant que toutes les entreprises répondent à un ensemble de 10 exigences minimales dans leurs politiques de gestion des risques de cybersécurité.
Ces éléments comprennent la gestion des incidents, la sécurité de la chaîne d'approvisionnement, la gestion et la divulgation des vulnérabilités, ainsi que l'utilisation de la cryptographie. La directive NIS 2 comprend également une approche en plusieurs étapes du signalement des incidents, qui établit un équilibre entre un reporting rapide pour empêcher la propagation des incidents et un reporting approfondi pour tirer de précieux enseignements.
Les entreprises concernées disposent de 24 heures pour soumettre une alerte précoce, de 72 heures pour soumettre une notification d'incident et d'un mois pour soumettre un rapport final. Cela contribuera à réduire la charge supplémentaire pesant sur les entreprises opérant dans plusieurs États membres et à garantir que toutes les entreprises répondent aux exigences nécessaires en matière de cybersécurité.
La directive NIS 2 vise à combler les lacunes des règles précédentes, en les adaptant aux besoins de notre époque et en les rendant pérennes. À cette fin:
La directive NIS 2 étend les règles de cybersécurité à de nouveaux secteurs numérisés et interconnectés.
Elle supprime la distinction entre opérateurs de services essentiels et fournisseurs de services numériques.
La directive rationalise les exigences en matière de sécurité et de reporting avec une approche de gestion des risques et des dispositions plus précises en matière de reporting des incidents.
Il aborde les risques de cybersécurité dans les chaînes d’approvisionnement et renforce la cybersécurité des chaînes d’approvisionnement pour les technologies clés de l’information et de la communication au niveau européen.
La directive renforce les mesures de surveillance et la coopération entre les États membres, notamment en harmonisant les régimes de sanctions et en établissant un cadre de base pour une divulgation coordonnée des vulnérabilités.
Il renforce la coopération opérationnelle au sein du réseau CSIRT et crée le réseau européen d’organisations de liaison en cas de cyber-crise (EU-CyCLONe).
NIS2 crée une base de données de vulnérabilité de l'UE qui sera exploitée et entretenue par l'agence européenne pour la cybersécurité (ENISA).
Ces éléments comprennent la gestion des incidents, la sécurité de la chaîne d'approvisionnement, la gestion et la divulgation des vulnérabilités, ainsi que l'utilisation de la cryptographie. La directive NIS 2 comprend également une approche en plusieurs étapes du signalement des incidents, qui établit un équilibre entre un reporting rapide pour empêcher la propagation des incidents et un reporting approfondi pour tirer de précieux enseignements.
Les entreprises concernées disposent de 24 heures pour soumettre une alerte précoce, de 72 heures pour soumettre une notification d'incident et d'un mois pour soumettre un rapport final. Cela contribuera à réduire la charge supplémentaire pesant sur les entreprises opérant dans plusieurs États membres et à garantir que toutes les entreprises répondent aux exigences nécessaires en matière de cybersécurité.
La directive NIS 2 propose d'améliorer la gestion des cyber-risques en introduisant des responsabilités claires, une planification appropriée et une coopération européenne accrue.
NIS 2 impose aux États membres de nommer des autorités nationales responsables de la gestion des cyber-crises, introduit des plans nationaux de réponse aux incidents et aux crises de cybersécurité à grande échelle et établit le réseau européen d'organisations de liaison en cas de cyber-crise (EU-CYCLONe) pour soutenir la gestion coordonnée des crises de cybersécurité à grande échelle. incidents et crises de cybersécurité.
Le réseau EU-CYCLONe est un élément clé du cadre européen de gestion des cyber-crises défini par la Commission en 2017, contribuant à une réponse coordonnée aux incidents et aux crises à grande échelle.
Rencontrez Matt et réservez un gratuit 15 minutes appelez ci-dessous pour mieux comprendre comment mettre en œuvre la conformité NIS 2 dans votre entreprise
Organisée par NIS2Compliant.org, cette page fournit des informations de source publique sur tout ce qui concerne la prochaine directive NIS2. Présenté de manière claire et concise pour une consommation facile.
Clause de non-responsabilité
Les informations fournies sur ce site Web sont uniquement destinées à des fins éducatives et informatives. Le contenu n'est pas destiné à remplacer un avis professionnel ou tout autre conseil, service juridique, etc. Les administrateurs et contributeurs du site ne font aucune déclaration ou garantie quant aux informations contenues dans le site. Toute confiance que vous accordez à ces informations est donc strictement à vos propres risques.
Copyright par Nis2Compliant.org
