Network And Information Security Directive (NIS2)
Les experts Bureau Veritas vous accompagnent pour vous aider à répondre aux exigences NIS2 en cybersécurité.
NIS2, POUR UNE PROTECTION Renforcée CONTRE LES CYBERMENACES
- L’urgence de se conformer à la directive NIS2 (Network and Information Security) est réelle. De nombreuses organisations et entreprises ont pris du retard dans la prise en compte de cette directive européenne, qui sera transposée en loi en France en octobre 2024.
- NIS2 s’appliquera à de nombreux secteurs d’activité tels que : l’énergie, le transport, la finance, la santé, le digital, les administrations publiques, l’aérospatiale, les services postaux, la gestion des déchets, la chimie, l’alimentation, l’industrie, la recherche, les infrastructures numériques…
Face à la montée des menaces cyber et à la persistance de vulnérabilités dans les systèmes d'information, la directive NIS 2 offre une opportunité unique en permettant à des milliers d'entités de renforcer leur protection. Nos équipes Bureau Veritas peuvent vous accompagner sur vos défis cybersécurité liés à la directive NIS2 : analyse approfondie, accompagnement quant à la compréhension de la directive NIS2, formation et préparation de vos collaborateurs, incluant la direction générale, et plus encore !
Comprendre la directive NIS2
La NIS2 est la 2ème directive sur la sécurité des réseaux et de l'information, qui étend le champ d'application à davantage de secteurs, avec des exigences plus strictes et des sanctions plus sévères en cas de non-conformité par rapport à la directive NIS existante. À quelques exceptions près, elle s'applique aux entreprises de taille moyenne et grande (50 employés ou un chiffre d'affaires annuel de 10 millions d'euros) dans des secteurs tels que la santé, les services numériques, l’énergie, …
L'objectif principal de la directive NIS2 est de promouvoir une culture de la cybersécurité et d'assurer la résilience des services essentiels dans trois domaines clés :
-
Gestion des risques et réponse aux incidents
La NIS2 stipule que les organisations doivent réaliser des évaluations régulières des risques pour identifier les menaces potentielles et avoir des plans de réponse aux incidents cyber pour garantir qu'elles peuvent répondre et se remettre efficacement des incidents informatiques.
-
Mesures de sécurité
La NIS 2 exige que les organisations mettent en œuvre des mesures techniques et organisationnelles pour garantir la sécurité de leurs réseaux et systèmes d'information. Cela inclut les contrôles d'accès, le chiffrement et les mises à jour de sécurité régulières.
-
Exigences de rapport
Les organisations doivent également signaler les incidents informatiques significatifs aux autorités compétentes.
Ce que les organisations doivent savoir
La directive NIS2 entrera en vigueur en octobre 2024 incluant l'ajout de fournisseurs de services gérés au champ d'application. Par conséquent, la directive s'applique aux organisations qui opèrent ou exercent des activités pour des entreprises de l'UE dans le champ d'application.
Cela inclut les entreprises qui correspondent à la description d'une « organisation essentielle » ou « importante » dans une liste définie de secteurs, tels que : les fournisseurs de services Internet, les fournisseurs d'énergie, les entreprises de distribution d'eau potable, les transformateurs de déchets, les banques, les transporteurs, les établissements de santé, les usines de production alimentaire et les fournisseurs d'infrastructures numériques.
Ne pas agir pourrait être coûteux. En vertu de la NIS2, les autorités nationales peuvent imposer une gamme plus large de sanctions par rapport à la NIS.
-
Exemples concrets pour les entreprises concernées
- Les directeurs et la direction peuvent être tenus personnellement responsables des échecs de mise en œuvre de la directive.
- Les amendes peuvent atteindre 10 millions d'euros ou 2 % du chiffre d'affaires total (pour les entités essentielles) ou jusqu'à 7 millions d'euros ou 1,4 % du chiffre d'affaires total (pour les entités importantes).
- Les régulateurs peuvent suspendre les opérations commerciales si nécessaire pour la sécurité du réseau.
- Les directeurs et la direction peuvent être tenus personnellement responsables des échecs de mise en œuvre de la directive.
-
Secteurs applicables
Les secteurs concernés sont les suivants :
Energie, Transport, Finance, Santé, Eau, Infrastructures digitales, administrations publiques, poste, gestion des déchets, produits chimiques, alimentation, numérique, recherche…
Un accompagnement expert nécessaire
Y compris si votre organisation suit déjà des normes de conformité telles que l'ISO 27001, la mise en conformité avec les exigences NIS2 nécessitera probablement des actions supplémentaires.
- La réalisation d’une analyse des écarts par nos experts Bureau Veritas vous permettra d’identifier les points forts et les domaines nécessitant des mesures supplémentaires, afin de vous conformer à la directive NIS2 en toute sérénité.
Cette mise en conformité nécessite un travail abouti de recherche et une expertise approfondie en cybersécurité. Une approche hâtive ou minimaliste exposerait non seulement votre organisme à des vulnérabilités, mais également à des sanctions juridiques et financières. - Une formation aux implications de la directive NIS2 pourrait également être bénéfique voire cruciale pour votre entreprise : en effet, les implications de la directive NIS2 touchent la direction générale, avec une responsabilité personnelle des membres du conseil d'administration pour la cybersécurité, rendant la formation plus cruciale que jamais. Bureau Veritas tiers de confiance mondialement reconnu peut vous accompagner dans cette formation.
Renforcez dès maintenant la cybersécurité de votre organisation :
Services de conformité à la directive NIS2 de bureau veritas
Nos experts cyber de Bureau Veritas, offrent une gamme de services pour soutenir la conformité à la NIS2, où que vous en soyez dans votre parcours de cybersécurité.
éTAPES VERS LA CONFORMITé
Vos étapes vers la conformité, y compris nos services pour vous aider à les atteindre :
-
Vérification de l’application de la NIS 2 à votre organisation
La première étape consiste à déterminer si votre organisation relève du champ d'application dans la cadre UE. La directive NIS2 s'applique aux entités importantes et essentielles. La classification d'une entreprise dépend de sa taille et du secteur dans lequel elle opère, ainsi que dans le cadre de la chaine d’approvisionnement.
-
Formation pour votre conseil d'administration et votre personnel
Former vos collaborateurs, tant au niveau du conseil d'administration qu'à d'autres niveaux, est une demande essentielle de la directive NIS2. Nous avons développé la formation NIS2 pour les conseils d'administration et le programme SAFE Awareness, vous aidant à répondre à ces exigences à tous les niveaux.
-
Cartographie de la situation actuelle de votre organisation
Pour déterminer les étapes à suivre pour répondre aux exigences de la NIS2, il est important d'avoir une bonne idée des niveaux de maturité de la sécurité des différentes parties de votre organisation. Notre service d'évaluation des écarts NIS2 mesure où vous en êtes et où vous devez aller. Avec cette connaissance, vous saurez quelles étapes suivre pour vous conformer à la NIS2.
-
Mise en œuvre d’un plan d’améliorations
Après avoir cartographié la situation actuelle de votre organisation, vous pouvez mettre en œuvre toutes les mesures d'amélioration nécessaires. Notre large gamme de solutions, y compris le soutien CISO et les services de réponse aux incidents, peut vous aider à la fois dans l'implémentation et l'interprétation des mesures.
-
Atteinte de la conformité à la directive NIS 2
Après avoir complété ces étapes, vous serez conforme à la NIS2 et votre organisation sera plus sécurisée face aux menaces cyber. Nous vous soutenons également tout au long du processus avec notre programme CyberCare.
Quels sont les avantages de la conformité à la NIS2 ?
La conformité est obligatoire pour certaines organisations, mais se conformer à la NIS2 offrira également d'autres avantages, notamment :
- Amélioration de la résilience informatique et meilleure planification des menaces cyber
- Meilleure compréhension des risques informatiques et cyber dans toute l'organisation
- Amélioration de la réponse aux incidents et des rapports aux autorités compétentes
LES SOLUTIONS DE BUREAU VERITAS
01- Sensibilisation des équipes de direction NIS2
NIS2 exige que les administrateurs suivent une formation. La formation « NIS2 Boardroom » est le fruit d’une collaboration entre des avocats et les experts en cybersécurité de Bureau Veritas. En une seule journée, vous aurez un aperçu des mesures de gestion des risques de cybersécurité que les organisations doivent prendre au minimum sur la base de NIS2.
02- Évaluation de l’écart NIS2
Réalisation d’une évaluation des écarts NIS2 pour obtenir un aperçu détaillé de votre niveau de maturité actuel en matière de sécurité et des étapes à suivre pour vous conformer à la norme NIS2. Ce service est basé sur notre évaluation de la maturité de la sécurité.
03- Service de mise en œuvre NIS2
Bureau Veritas offre une large gamme de services afin de vous aider à mettre en place la directive NIS2 au sein de votre organisation. La portée spécifique des services dépend des résultats de l’analyse des écarts NIS2.
Nos services de mise en œuvre NIS2 :
- CyberCare
- Soutien aux RSSI - Gestion de la sécurité interne
- Programme de sensibilisation et de comportement des équipes
- Réponse aux incidents
- Cybersécurité de l’informatique industrielle et du supply chain
POURQUOI CHOISIR BUREAU VERITAS POUR VOTRE Conformité NIS2 ?
TIERS DE CONFIANCE MONDIALEMENT RECONNU
Des décennies d'expérience en matière de gouvernance, de risque et de conformité. Une gamme de services spécialement développés pour répondre à vos besoins NIS2 et vous aider à devenir conforme à NIS2
EXPERTISE EN cybersécurité
- Experts en cybersécurité dans le domaine des personnes, des processus et de la technologie
- Une gamme de services spécifiquement développés pour répondre à vos besoins en matière de NIS2 et vous aider à vous conformer à la NIS2
UN ACCOMPAGNEMENT personnalisé
Un interlocuteur dédié et des experts dont la qualité des services n’est plus à prouver. Une feuille de route claire pour se conformer et rester conforme à la norme NIS2.
⮕ FAQ Questions fréquentes
EN QUOI LA NIS2 DIFFÈRE-T-ELLE DE LA NIS ?
La NIS2 se concentre sur les mêmes objectifs que la NIS, mais couvre une gamme plus large de secteurs, a des exigences plus strictes en matière de gestion des risques et de notification des incidents, et des sanctions plus sévères pour non-conformité. Elle étend également le champ d'application des organisations couvertes.
POUVEZ-VOUS RÉSUMER LES PRINCIPALES EXIGENCES DE LA NIS2 ?
La NIS2 stipule que des processus doivent être établis pour l'analyse et la gestion des risques, la sécurité de l'information et la gestion des incidents informatiques. Des plans de continuité et de récupération doivent être en place pour répondre aux urgences. Les incidents significatifs doivent être signalés aux autorités compétentes. L'utilisation d'une technologie de cryptage et d'une authentification multifactorielle à l'échelle de l'entreprise est requise. Et une formation régulière est nécessaire pour tout le personnel afin de les éduquer sur les meilleures pratiques en matière de sécurité de l'information.
COMMENT LA NIS2 SE RELIE-T-ELLE À L'ISO-27001 ?
Bien que l'ISO-27001 et la NIS2 visent toutes deux à améliorer la cybersécurité, elles ont des portées, des applicabilités et des approches globales différentes en matière de cybersécurité. Si votre Systèmes de management de la sécurité de l'information (SMSI) est certifié ISO 27001, vous serez sur la bonne voie pour vous conformer à la NIS2, mais des mesures et des processus supplémentaires seront probablement nécessaires.