Cybersécurité : dernière ligne droite pour se conformer à NIS 2

En quoi consiste NIS 2 ? 

L’objectif de cette directive est de mieux armer l’Europe face aux cyberattaques, dont le nombre se multiplie chaque année et entraîne de lourdes conséquences pour les structures victimes. NIS 2 propose donc un ensemble de règles à respecter, des bonnes pratiques à appliquer pour mettre en place un système défensif efficace. Bien sûr, le risque 0 n’existe pas, mais déployer ces règles assurera une protection robuste. 

Quelles sont les entreprises concernées ?

La réglementation NIS1 concernait 4 % environ des entreprises européennes. NIS 2 étend le spectre et s’applique à plus de 160 000 entreprises. Il s’agit de toutes celles qui interviennent dans un domaine « essentiel ou important » (voir encadré) et qui réalisent plus de 10 millions d’euros de chiffre d’affaires ou emploient plus de 50 salariés. L’une des principales nouveautés repose sur l’obligation d’embarquer leurs sous-traitants dans la démarche. À elles de fixer les règles et de définir à quelles exigences doivent se conformer leurs prestataires. 

À lire aussi :

• RGPD : UN RÉFÉRENT CERTIFIÉ
• ISO 27001, L’INCONTOURNABLE DE LA CYBERSÉCURITÉ

Quelles sont les autres obligations de NIS 2 ? 

Concrètement, une structure déjà certifiée ISO 27001 (Systèmes de management de la sécurité de l'information) remplit déjà 80 % des exigences. NIS 2 propose donc des mesures concrètes de protection : identification des parties prenantes, définition d’une politique de sécurité, évaluation des risques, contrôles réguliers, méthodes de réduction des risques… En complément, les entreprises doivent assurer un reporting rigoureux auprès des autorités compétentes en cas d’incident et se conformer aux systèmes de certification européens, dont le futur CRA (Cyber Resilience Act). Toutes ces actions visent à mieux protéger les structures et les pays face aux menaces toujours plus présentes de puissances ou groupes hostiles et malveillants. 

Dans ce contexte, quelles solutions apportent les équipes de Bureau Veritas ?

Présent partout dans le monde, Bureau Veritas est en mesure d’accompagner toutes les structures concernées par NIS 2 avec une expertise accrue sur ces questions. Nos équipes disposent notamment d’une vraie maîtrise de l’ISO 27001. NIS 2 n’est pas certifiable : Bureau Veritas interviendra donc en support des entreprises pour les aider à se mettre en conformité, les accompagner dans le déploiement de ces nouvelles règles et les suivre sur la durée. En cas de non-respect des exigences de NIS 2, les contrevenants s’exposent à des amendes et au « name & shame » : le nom des structures pas assez rigoureuses sera dévoilé, avec un risque d’image important. 

Quelles sont les prochaines étapes pour les entreprises ? 

L’Union européenne prend les devants et se dote de la législation la plus stricte en la matière pour mieux parer les menaces. C’est un enjeu de souveraineté et de protection de nos actifs. Il n’est pas à exclure que le champ d’application s’étende à l’avenir… Mais il faut se montrer rassurant : les exigences de NIS 2 restent basées sur le bon sens et les bonnes pratiques, au service de la performance et la sécurité des entreprises. Quelques mois suffisent pour se structurer : c’est donc le moment de se lancer pour rester dans les temps !