Comprendre la directive NIS2 pour assurer sa conformité

La directive NIS2 impose de nouvelles exigences de sécurité aux organisations opérant dans l’Union européenne. Pour les entreprises, il est donc essentiel de savoir si vous y êtes assujettis, et si tel est le cas, les méthodes à votre disposition pour vous y conformer.

Nos experts en cybersécurité vous expliquent tout ce que vous devez savoir sur cette directive ainsi que vos options pour vous préparer à la mise en conformité.

Soyez accompagné pour votre mise en conformité

Résumé rapide sur la directive NIS2
Réponses aux questions fréquentes sur la loi Dora en cybersécurité.

Qu’est-ce que la directive NIS2?

La directive NIS2, adoptée le 27 décembre 2022, est la succession et la refonte majeure de NIS (2016) concernant les normes européennes en matière de cybersécurité. Cette nouvelle version élargit le champ d’application de NIS et vise à renforcer la sécurité des réseaux et des systèmes d’information et l’amélioration de la résilience des entreprises face aux menaces informatiques.

 

« Les exigences prévues par la directive européenne invitent de nombreuses entités à construire une solide feuille de route pour déployer et renforcer leurs moyens de cyberdéfense, avec pour objectifs un fonctionnement structurel plus sûr, davantage de confiance vis-à-vis de leurs parties prenantes et une meilleure compétitivité pour les entreprises. »

Vincent Strubel, Directeur Général de l’Agence Nationale de la sécurité des systèmes d’information (ANSSI)

 

Êtes-vous concerné par la directive NIS2?

+1000 nombre d’entités visées 

+18 secteurs d’activités concernés

 

La directive s’adresse principalement à deux catégories d’entités, soit les entités essentielles (EE) et les entités importantes (EI). Les organisations dépassant un seuil critique de chiffre d’affaires (10 millions d’euros), d’effectifs (plus de 50 employés) ou d’impact économique sont les principales cibles de cette norme.

Référez-vous au tableau ci-bas pour vérifier si votre organisation doit se conformer à la réglementation NIS2.

Date d’entrée en vigueur de la directive NIS2

NIS2 est entrée en vigueur le 16 janvier 2023. Les États membres devaient transposer ses directions dans leur législation nationale respective avant le 17 octobre 2024. L’heure est donc critique pour les organisations, il est temps d’ajuster vos mesures de sécurité pour vous conformer aux nouvelles obligations.

Mise en conformité obligatoire des EE et EI

Entités essentielles (EE) Entités importantes (EI)
Administrations publiques   Fabrication, production et distribution de produits chimiques
Eaux potables Fournisseurs de services numériques
Eaux usées   Gestion des déchets
Secteur des énergies Industrie manufacturière
Espace   Production, transformation et distribution de denrées alimentaires
  Gestion des services TI et de la communication (interentreprises)    Recherche
Infrastructures des marchés financiers   Services postaux et d'expédition
  Infrastructures numériques
Établissements de santé
   Secteur bancaire
Transports

 

 

Découvrez notre offre de cybersécurité ciblée pour le secteur de la santé

La santé en cybersécurité

Assurez votre conformité aux directives de cybersécurité de l’Union européenne avec Victrix 

Grâce à notre Centre Opérationnel de Sécurité Évolutif (SEvOC), nous aidons les organisations à respecter les normes les plus élevées en matière de cybersécurité (RGPD, DORA, NIS2, ISO 27001) 

Découvrez SEvOC

 

Les 4 obligations de NIS2 pour les entités essentielles et importantes

1

Gouvernance

Assumer la responsabilité des stratégies de cybersécurité et intégrer ces dernières dans la gouvernance de l’organisation.
2

Gestion des risques cybersécurité

Établir un cadre d’évaluation régulier pour identifier, analyser et limiter les vulnérabilités
3

Obligation d’informer

Signaler tout incident de cybersécurité significatif dans une période de 24h à 72h maximale.
4

Sécurité des chaînes d’approvisionnement

S’assurer que les fournisseurs respectent des normes équivalentes en cybersécurité.

Risques de non-conformité à NIS2

  • Jusqu’à 2% du chiffre d’affaires mondial en amende 
  • Mise en place de mesures correctives par les autorités compétentes 
  • Suspension des activités critiques jusqu’à la mise en conformité 
  • Dommages à la réputation, perte de confiance des clients et partenaires 

Le saviez-vous?

10 Millions d’euros — C’est l'amende maximale à laquelle vous vous exposez en cas de non-conformité à NIS2.

Votre entreprise est-elle conforme à la directive NIS2?

Faites évaluer votre conformité par des experts en cybersécurité, gestion du risque et conformité.

Consultez un expert

 

 

SEvOC: votre allié pour la conformité

Victrix accompagne et soutient les entités essentielles et importantes dans leur mise en conformité NIS2. Notre approche rigoureuse et nos consultants GRC certifiés garantissent une mise en conformité personnalisée et adaptée à votre réalité d’affaires.

Audit de conformité

Nous identifions vos lacunes par rapport aux exigences de NIS2 et proposons des recommandations personnalisées en fonction des standards spécifiques de votre secteur d’activités.

Élaboration d’un plan d’action

À la suite de l’audit de conformité, nous collaborons avec vos équipes pour définir les étapes nécessaires et accélérer le processus de mise en conformité.

Mise en conformité

  • Chiffrement des données sensibles de bout-en-bout (E2EE) pour une sécurité optimale
  • Traçabilité des actions pour répondre aux exigences d’audit
  • Renforcement de votre résilience pour améliorer la gestion des incidents et interruptions
  • Intégrations technologiques: Solutions de protection fiables pour vos systèmes essentiels

Suivi et amélioration continue

Mettre en place des processus de surveillance et d’évaluation régulière.

Démarrez votre projet avec Victrix

 

Informations supplémentaires sur NIS2

5 Objectifs principaux de la directive NIS2 

1. Renforcer la cybersécurité des réseaux critiques

2. Harmoniser les normes de sécurité à travers l’Union européenne

3. Faciliter la coopération transfrontalière et l’échange d’information

4. Affronter les menaces numériques en entreprise plus efficacement

5. Élever la confiance numérique et la protection des droits fondamentaux

 

6 Différences principales entre NIS (2016) et NIS2 (2022)

Extension de la couverture : Inclus maintenant les secteurs d’activités des entreprises importantes (EI). 

Renforcement des obligations : Des mesures de sécurité plus strictes à tous les niveaux, soit techniques, opérationnels et organisationnels. 

Amélioration de la collaboration : Accentue l’importance du partage des informations entre les États membres et les autorités compétentes. 

Notification d’incidents : Délais plus courts et informations plus détaillées requises. 

Mise en application : Mécanismes d’application plus stricte et des amendes plus importantes en cas de non-respect. 

*Nouveau* Chaîne d’approvisionnement : Les entités doivent vérifier le niveau de cybersécurité de leurs fournisseurs.