Gouvernance & Formation

NIS 2 & ISO 27001

NIS 2 & ISO 27001

La directive européenne NIS2, adoptée en janvier 2023, va obliger des milliers d’entreprises à renforcer leurs normes de sécurité.

Élaboration d'une stratégie de sécurité

Réduction de votre surface d'attaque

Détection proactive des menaces

Explications détaillées

La directive NIS2 est ambitieuse et vise à atteindre une cyber-maturité partagée dans toute l’Union européenne. Les 27 États membres ont jusqu’en septembre 2024 pour intégrer cette disposition dans leur législation nationale.

La directive NIS est destinée à renforcer la cybersécurité des États membres de l’Union européenne.

En tant que successeur de NIS1, la nouvelle directive NIS2 élargira son champ d’application et obligera d’avantage des entreprises et des secteurs à se conformer à ses principes.

Concrètement, la directive NIS2 continue de s’appliquer aux secteurs déjà concernés par NIS1 (OIV, établissements de santé, banque, transports) à de nouvelles activités telles que l’administration publique, les télécommunications, les plateformes de réseaux sociaux, les services postaux et l’espace. NIS2 s’étend aussi au secteur privé : Des milliers d’entreprises de toutes tailles, des PME aux groupes du CAC40, devront se conformer aux règles de cette nouvelle directive.

Question : Je suis une TPE / PME / ETI ou collectivité locale, est-ce que NIS 2 me concerne ?

Oui. Pour être concerné par les obligations de la directive NIS 2 il faut soit (une des deux conditions) :

–          Avoir 50 employés ou plus

–          Chiffre d’affaires de votre entreprise est supérieur à 10 millions d’euros

NIS2 : Quelles sont les obligations des organisations concernées ?

 NIS2 crée de nouvelles obligations pour les entités couvertes en matière de gestion des incidents, de gestion des risques, de sécurité de la chaîne d’approvisionnement, de chiffrement et de divulgation des vulnérabilités.

  1. Rapport d’incident de sécurité :  NIS2 propose une approche en deux étapes.
  • Les entreprises concernées doivent adresser un premier signalement préliminaire à l’ANSSI dans les 24 heures suivant l’incident. Celui-ci doit être accompagné d’un rapport final dans un délai maximum d’un mois.
  1. Risques Cyber : Les entreprises devraient accorder une attention particulière à la formation des décideurs sur la gestion des risques cyber.
  1. Tests et audits de sécurité : Selon NIS2, les organisations devraient régulièrement effectuer des tests et des audits techniques, tels que des tests d’intrusion et des analyses de vulnérabilité, pour évaluer l’efficacité des mesures de sécurité en place.
  1. Sécurité de la chaîne d’approvisionnement : Les entreprises doivent faire preuve de diligence raisonnable sur leurs chaînes d’approvisionnement, notamment en enquêtant sur les pratiques de cybersécurité en place chez leurs fournisseurs et prestataires de services.
 

Enfin, la directive NIS 2 prévoit également un régime de sanctions renforcé, qui s’applique à toutes les parties obligées.

NIS2 : Quelles sanctions ?

Les sanctions vont de l’obligation de réaliser des audits de sécurité et de conformité aux sanctions administratives. Le mécanisme proposé pourrait être basé sur un pourcentage des ventes de l’entreprise en question, selon la nature de l’infraction. Amendes pouvant aller jusqu’à 10 millions d’euros ou 2% du chiffre d’affaires global, avec le montant maximum réservé.

Cette nouvelle directive obligera par la loi des milliers d’entreprises à augmenter le niveau de leur sécurité informatique.


NIS2 : Que faire pour se préparer ?

 Notre gamme complète de solutions techniques et de conseils vise à soutenir activement les DSI et RSSI dans leur démarche de conformité, en mettant l’accent sur la gouvernance, la détection, la réponse, ainsi que la sécurisation et le contrôle des actifs et des périmètres. Cela se concrétise par les actions suivantes :

Élaboration d’une stratégie de sécurité avec une priorisation judicieuse de vos investissements.

– Accompagnement dans la mise en place de procédures de cybersécurité et de processus adaptés à vos besoins (PRA/PCA).

Réduction de votre surface d’attaque par une analyse approfondie des vulnérabilités présentes dans votre réseau, vos ressources et votre chaîne d’approvisionnement.

Réalisation de tests d’intrusion et simulation d’attaques pour évaluer la robustesse de votre défense.

Détection proactive des menaces actuelles ou passées, suivie d’une réponse rapide et efficace.

Selon l’ANSSI, la directive NIS 2 rentrera donc en vigueur en France au plus tard en octobre 2024.

 

Bon à savoir… :

–          Selon le « Panorama de la cybermenace 2022 » de l’ANSSI, plus de 60 % des attaques qui sont remontées à l’ANSSI concernent des petites structures PME/TPE/ETI et collectivités territoriales. L’ANSSI observe également une évolution des attaques qui ciblent désormais les chaînes de sous-traitance pour se rapprocher de leurs clients finaux.

–          Le 30 octobre 2022, Hugues Foulon, PDG d’Orange Cyberdéfense affirmait à ce propos que : « 60 % des entreprises victimes de cyberattaque déposent le bilan dans les 6 mois ». Un constat qui incite chaque entreprise à se préparer à l’éventualité d’une attaque…

Pour plus de renseignements, veuillez nous contacter en utilisant l’une des options ci-dessous :

Linkedin Envelope Whatsapp
Search

Liens rapides

Contact

108 bld de Sébastopol, 75003 Paris

Téléphone : +33.1.86.96.24.09

2791 Saint Bernard 06225, Sophia Antipolis

 Téléphone: +33.4.88.60.21.51

1 Place de la Gare, 59000, Lille 

Téléphone: +33.3.74.47.17.55

75 Av. Montaigne, 49000 Angers, France 

Téléphone: +33.2.55.99.49.87

Droits d'auteur © 2022 Tous droits réservés - Cyber-Solutions. Politique de confidentialité.

Search
Utilisation des Cookies

Nous utilisons des cookies pour optimiser notre service et améliorer votre expérience. En continuant à utiliser ce site, vous acceptez l’utilisation de ces derniers. Politique de confidentialité.

Accepter
Refuser