Cybersécurité : dernière ligne droite pour se conformer à NIS 2
L’Union européenne durcit le ton en matière de cybersécurité. Face à l’explosion du nombre d’attaques informatiques, l’UE muscle son dispositif de protection et impose à ses entreprises « essentielles et importantes » de se conformer à la nouvelle directive NIS 2. Le texte entrera en application le 17 octobre 2024. Des PME aux groupes du CAC 40, des milliers entreprises françaises sont concernées et doivent se mettre en ordre de marche sans attendre. Décryptage par Anna Prudnikova, Cyber security manager de Secura, filiale de Bureau Veritas spécialisée dans la sécurité informatique.
En quoi consiste NIS 2 ?
L’objectif de cette directive est de mieux armer l’Europe face aux cyberattaques, dont le nombre se multiplie chaque année et entraîne de lourdes conséquences pour les structures victimes. NIS 2 propose donc un ensemble de règles à respecter, des bonnes pratiques à appliquer pour mettre en place un système défensif efficace. Bien sûr, le risque 0 n’existe pas, mais déployer ces règles assurera une protection robuste.
Quelles sont les entreprises concernées ?
La réglementation NIS1 concernait 4 % environ des entreprises européennes. NIS 2 étend le spectre et s’applique à plus de 160 000 entreprises. Il s’agit de toutes celles qui interviennent dans un domaine « essentiel ou important » (voir encadré) et qui réalisent plus de 10 millions d’euros de chiffre d’affaires ou emploient plus de 50 salariés. L’une des principales nouveautés repose sur l’obligation d’embarquer leurs sous-traitants dans la démarche. À elles de fixer les règles et de définir à quelles exigences doivent se conformer leurs prestataires.
À lire aussi :
Cyber security manager de Secura, filiale
de Bureau Veritas
Bureau Veritas interviendra donc en support des entreprises pour les aider à se mettre en conformité, les accompagner dans le déploiement de ces nouvelles règles et les suivre sur la durée.
Quelles sont les autres obligations de NIS 2 ?
Concrètement, une structure déjà certifiée ISO 27001 (Systèmes de management de la sécurité de l'information) remplit déjà 80 % des exigences. NIS 2 propose donc des mesures concrètes de protection : identification des parties prenantes, définition d’une politique de sécurité, évaluation des risques, contrôles réguliers, méthodes de réduction des risques… En complément, les entreprises doivent assurer un reporting rigoureux auprès des autorités compétentes en cas d’incident et se conformer aux systèmes de certification européens, dont le futur CRA (Cyber Resilience Act). Toutes ces actions visent à mieux protéger les structures et les pays face aux menaces toujours plus présentes de puissances ou groupes hostiles et malveillants.
Dans ce contexte, quelles solutions apportent les équipes de Bureau Veritas ?
Présent partout dans le monde, Bureau Veritas est en mesure d’accompagner toutes les structures concernées par NIS 2 avec une expertise accrue sur ces questions. Nos équipes disposent notamment d’une vraie maîtrise de l’ISO 27001. NIS 2 n’est pas certifiable : Bureau Veritas interviendra donc en support des entreprises pour les aider à se mettre en conformité, les accompagner dans le déploiement de ces nouvelles règles et les suivre sur la durée. En cas de non-respect des exigences de NIS 2, les contrevenants s’exposent à des amendes et au « name & shame » : le nom des structures pas assez rigoureuses sera dévoilé, avec un risque d’image important.
Quelles sont les prochaines étapes pour les entreprises ?
L’Union européenne prend les devants et se dote de la législation la plus stricte en la matière pour mieux parer les menaces. C’est un enjeu de souveraineté et de protection de nos actifs. Il n’est pas à exclure que le champ d’application s’étende à l’avenir… Mais il faut se montrer rassurant : les exigences de NIS 2 restent basées sur le bon sens et les bonnes pratiques, au service de la performance et la sécurité des entreprises. Quelques mois suffisent pour se structurer : c’est donc le moment de se lancer pour rester dans les temps !
Essentiel et important
Les entreprises concernées sont regroupées en 2 grandes catégories. Les mêmes obligations s’appliquent à elles, mais selon un calendrier de mise en œuvre décalé.
Essentiel :
- Énergie Transports Banques (secteur bancaire)
- Infrastructure des marchés financiers
- Santé
- Eaux potables et usées Infrastructure numérique
- Gestion des services informatiques /BtB
- Administration publique / administration centrale
- Espace
Important :
- Services postaux et d'expédition
- Gestion de déchets
- Fabrication, production et distribution de produits chimiques
- Production transformation et distribution de denrées alimentaires
- Fabrication
- Fournisseurs numériques
- Recherche