7 conseils pour se préparer au NIS2

Author info

En décembre 2020, la Commission européenne a proposé une nouvelle directive sur la sécurité des réseaux et des systèmes d'information ("directive NIS2" ou "NIS2"). La directive NIS2 vise à relever le niveau de cybersécurité dans l'UE et à améliorer la résilience des secteurs critiques. En bref, la directive NIS2 renforce la réglementation en matière de cybersécurité. Elle élargit le champ d'application et augmente les amendes.

Comment pouvez-vous vous préparer aux nouvelles règles et obligations du NIS2 ? Nous vous proposons ci-dessous quelques conseils pratiques pour préparer votre organisation au NIS2 et quelques pièges à éviter.

1. Champ d'application plus large

Le champ d'application du NIS2 est plus large que celui de la directive NIS de 2016. Le NIS2 s'appliquera non seulement aux fournisseurs de services essentiels (tels que l'énergie, les transports, la santé et la finance), mais aussi aux entités clés qui dépendent des réseaux et des systèmes d'information pour leurs opérations. Il s'agit d'un large éventail de secteurs, tels que l'infrastructure numérique, le secteur public, l'alimentation, l'eau, les services postaux et de messagerie, la gestion des déchets, les produits chimiques, l'aérospatiale et la défense. En outre, le NIS2 s'appliquera également aux fournisseurs de services numériques, tels que les places de marché en ligne, les moteurs de recherche en ligne, les services d'informatique en nuage et les réseaux sociaux. Il est important de vérifier si votre organisation entre dans l'une de ces catégories.

Il ne suffit pas d'appartenir à l'une de ces catégories. Votre organisation doit également avoir une certaine taille. Elle doit être au moins une grande ou moyenne entreprise (sous réserve de certaines exceptions spécifiques telles que les administrations publiques ou les prestataires de services de confiance qualifiés). Cela signifie qu'en principe, votre organisation doit employer plus de 50 personnes ou réaliser un chiffre d'affaires annuel supérieur à 10 millions d'euros.   

2. Piège classique : pas commencer ... si vous n'avez pas encore commencé

Si votre organisation relève du champ d'application de la directive NIS2, n'attendez pas pour la préparer ! En effet, la directive NIS2 est déjà applicable depuis le 16 janvier 2023 et remplace la directive NIS de 2016. Les États membres de l'Union européenne ont jusqu'au 17 octobre 2024 pour transposer cette directive dans leur législation nationale. 

En Belgique, l'avant-projet de loi NIS2 et son Arrêté Royal ont été publiés par le Centre for Cybersecurity Belgium dans le cadre d'une consultation publique fin 2023.

3. Analyse des risques liés aux obligations du NIS2

Le NIS2 impose à toutes les organisations concernées un certain nombre d'obligations générales en matière de cybersécurité. Il s'agit notamment des obligations suivantes

  • Analyse des risques et politiques de sécurité des systèmes d'information ;
  • le traitement des incidents ;
  • la continuité des activités, comme la gestion des sauvegardes et les plans d'urgence, et la gestion des crises ;
  • la sécurité de la chaîne d'approvisionnement, y compris les aspects liés à la sécurité des relations entre chaque entité et ses fournisseurs directs ou prestataires de services la sécurité de l'acquisition, du développement et de la maintenance des réseaux et des systèmes d'information, y compris la réponse aux vulnérabilités et leur divulgation ;
  • des politiques et des procédures pour évaluer l'efficacité des mesures de gestion des risques liés à la cybersécurité ;
  • les pratiques de base en matière d'hygiène cybernétique et la formation à la cybersécurité ;
  • les politiques et procédures relatives à l'utilisation de la cryptographie et, le cas échéant, du chiffrement ;
  • les aspects de sécurité concernant le personnel, la politique d'accès et la gestion des actifs ;
  • le cas échéant, l'utilisation d'une authentification multifactorielle ou de solutions d'authentification continue, de communications vocales, vidéo et textuelles sécurisées et de systèmes de communication d'urgence sécurisés au sein de l'entité. 

Si vous ne disposez pas aujourd'hui d'une vue d'ensemble de la situation de votre entreprise en matière de cybersécurité, procédez dès que possible à une analyse des risques afin de déterminer les mesures en place aujourd'hui et celles qui sont nécessaires pour votre organisation.

4 . Signaler les cyberincidents correctement et en temps voulu

Les cyberincidents sont inévitables en 2024 et peuvent avoir de graves conséquences pour la continuité, la réputation et la responsabilité de votre organisation. Le NIS2 exige de toutes les organisations concernées qu'elles signalent les cyberincidents importants. Il s'agit d'incidents qui ont un impact significatif ou élevé sur la continuité ou la disponibilité de leurs services ou opérations. Une première notification (alerte précoce) doit être faite dans les 24 heures suivant l'identification de l'incident à l'autorité nationale compétente ou au CSIRT désigné (en Belgique, le CCB). Ensuite, une notification complète de l'incident doit être faite dans les 72 heures. Cette notification doit comprendre une évaluation initiale de l'incident. Par exemple, la nature, les causes, les conséquences et les mesures qui ont été ou seront prises pour remédier à l'incident. Un rapport final doit être établi un mois après le rapport d'incident complet. Ce rapport final comprend, par exemple, la cause fondamentale ("root cause") de l'incident. 

L'absence de signalement ou le signalement tardif des cyberincidents peut être sanctionné. Ces sanctions peuvent aller d'amendes administratives à des poursuites pénales, en fonction de la législation nationale. En outre, les cadres supérieurs peuvent également être tenus pour responsables (voir ci-dessous).

Vous devez donc anticiper les cyberincidents potentiels et leurs éventuelles conséquences juridiques. Votre organisation doit notamment préparer un plan d'intervention en cas d'incident qui précise les responsabilités de chacun, les mesures à prendre, la documentation à rassembler et la manière de communiquer avec les parties prenantes internes et externes. N'oubliez pas non plus le facteur humain, car il est important de pratiquer, de tester et d'ajuster le plan d'intervention en cas d'incident si nécessaire.

5. Créer un plan d'action concret

La mise en œuvre de mesures de sécurité prend du temps (et des ressources). Sur la base de votre analyse des risques, déterminez les mesures de sécurité que votre organisation doit mettre en œuvre et planifiez leur mise en œuvre. En effet, la mise en œuvre de certaines mesures de sécurité ne peut tout simplement pas se faire du jour au lendemain. Pensez, par exemple, au déploiement de l'AFM (authentification multifactorielle), à un coffre-fort pour les mots de passe, à un pare-feu actualisé, à la surveillance de la sécurité, à un SIEM (système de gestion des informations et des événements de sécurité) et à la mise en place d'un SOC (centre opérationnel de sécurité). Il est important non seulement d'avoir une politique de cybersécurité sur papier, mais aussi de la mettre en œuvre. 

La mise en œuvre de politiques de cybersécurité et des mesures de sécurité qui les accompagnent implique également la mise en place de processus et la formation des employés. La sécurité de vos systèmes dépend du maillon le plus faible, qui est généralement l'utilisateur. Il doit être conscient de l'utilité des mesures de sécurité prises, car les mesures de sécurité considérées comme un fardeau sont souvent contournées. Elles perdent alors manifestement leur utilité. 

La mise en œuvre de mesures de sécurité, la formation des employés et la promotion d'un état d'esprit de cybersécurité prennent donc du temps. Il est important que votre plan d'action NIS2 en tienne compte de manière réaliste. Dans ce plan d'action NIS2, définissez les objectifs, les responsabilités, les ressources et les délais réalistes pour la mise en œuvre de NIS2 dans votre organisation.

6. Approche pluridisciplinaire et stratégique : juridique, informatique, risque et conformité, assurance, communication

La cybersécurité et le NIS2 ne sont certainement pas des questions purement juridiques, ni un simple problème informatique. La cybersécurité est une question complexe qui nécessite une approche multidisciplinaire. Elle touche à divers aspects de l'organisation, tels que l'infrastructure informatique, les processus d'entreprise, les communications, la réputation et la responsabilité. 

Pour élaborer et mettre en œuvre une stratégie de cybersécurité coordonnée et cohérente, il est essentiel de travailler en étroite collaboration avec d'autres services et experts, tels que le responsable des technologies de l'information, le responsable de la sécurité, le responsable de la communication, le responsable de la conformité et tout consultant externe. Pour faciliter cette collaboration entre les différents services et experts, vous pouvez mettre en place une équipe NIS2 interne qui se réunit régulièrement et rend compte du plan d'action NIS2 (voir ci-dessus), des progrès réalisés et des éventuels goulets d'étranglement.

 7. Responsabilité du management de l'organisation

Les cadres supérieurs peuvent être tenus pour responsables des infractions à la loi NIS2. L'avant-projet belge de la loi NIS2 stipule ce qui suit : "Toute personne physique responsable d’une entité essentielle ou importante ou agissant en qualité de représentant légal d’une entité essentielle

ou importante sur la base du pouvoir de la représenter, de prendre des décisions en son nom ou

d’exercer son contrôle a le pouvoir de veiller au respect, par l’entité, de la présente loi. Ces personnes

sont responsables des manquements à leur devoir de veiller au respect de la présente loi ". Un homme averti en vaut deux. Il est certainement recommandé de vérifier si ce point est déjà couvert par la police d'assurance des administrateurs et des dirigeants.

 

Le NIS2 est une étape importante dans le renforcement de la cybersécurité dans l'UE. Il entraînera de nouveaux défis et de nouvelles obligations pour de nombreuses organisations dont les activités reposent sur des réseaux et des systèmes d'information, y compris pour le service juridique de votre entreprise. 

Timelex a organisé un webinaire sur le NIS2 et le règlement européen sur les données (Data Act) en collaboration avec l'institut des juristes d’entreprise (IJE) le 18 janvier. Contactez-nous via notre formulaire de contact pour plus d'informations.