QUE CHANGE LA DIRECTIVE NIS 2 du 27 Décembre 2022




🚩 La directive NIS 2 a été publiée le 27 décembre 2022 dernier et a pour objectif de renforcer la résilience des infrastructures IT de l'UE face aux attaques informatiques. Elle doit être transposée au plus tard le 17 Octobre 2024 dans les législations de chaque État membre de l'Union.

💢 L'un des changements majeurs introduits par NIS2 est l’élargissement du périmètre des entreprises concernées et le changement de dénomination des catégories.

👆 Le périmètre des organisations concernées est élargie suivant la prise en compte de deux types de critères: le secteur d’activité et la taille de l’organisation. 

👆 La catégorisation quant à elle de l'organisation est dorénavant liée à son secteur d'activité et segmentée autour de deux annexes de la directive NIS2:

⏩ L'annexe 1 qui concerne les opérateur publics et privés des secteurs de l'énergie, de la santé, du transport, de l’administration publique, des infrastructures numériques, des services numériques B2B et de l’espace. 

👆 On retrouvera ici les fournisseurs de services cloud, les CDN, les Data Centers ou encore les fournisseurs de services managés (y compris de sécurité).

⏩ L'annexe 2 qui concerne les opérateurs publics et privés dans les secteurs des postes et courrier, de l’alimentaire (par ex., les cantines), de la recherche, de la gestion des déchets, des places de marché en ligne, des réseaux sociaux, des moteurs de recherche et des objets connectés de santé.

👆En conséquence plus de 160 000 organisations publiques et privées de toutes tailles et établies sur le territoire européen sont dorénavant concernées et doivent se conformer aux exigences harmonisées.

⏩ L'approche d'exception précédente est inversée et dorénavant l'entreprise non conforme comme son dirigeant sont soumis aux régimes de sanctions.

👆Dès sa mise en œuvre et en cas de carence avérée de l’effort minimal que les organisations doivent consacrer à la sécurité de leurs actifs numériques. L'entreprise sera sanctionné d'amendes administratives, et ses décideurs comme ses cadres dirigeants (C-Level) déterminés comme responsables.

👆Parmi les amendes administratives on retrouve le manquement aux obligations de reporting et de mise en place de mesures de réduction des risques, des amendes pouvant atteindre 10 millions d'euros ou 2% du CA mondial. Similaire au RGPD.

💢 Un autre changement majeur de cette directive NIS2 est de reconnaitre la souffrance et la solitude du Manager IT pour assurer le maintien en condition de sécurité des outils numériques. 

⏩ En conséquence de punir éventuellement le top management avec l'objectif de permettre une appropriation du risque numérique par la direction et le conseil d'administration. 

👆 Les dirigeants sont personnellement responsables si une négligence grave est prouvée après un incident de sécurité. il peut être ordonné de rendre public des aspects de non conformité avec la directive ou encore de faire une déclaration publique identifiant la ou les personnes physiques et morales responsables de la violations, et sa nature. 

👆Si l'organisation est de la première annexe, éventuellement la personne responsable sera interdite d'exercer des fonctions de direction en cas de négligences répétées. 

👆La directive donne des lignes directrices telle que s'assurer de la sensibilisation de la direction au risque numérique, et que les organes dirigeants reçoivent une formation adéquate en matière de cyber sécurité. 

👆Ou encore que les salariés reçoivent également une formation. La directive exige que des activité de gestion et d'évaluation des risques soient réalisées pour s'assurer que la direction est consciente et a pris en compte les risques de cyber sécurité au sein de son organisation.

🚩 En conclusion, quelle que soit la taille et l'activité de l'organisation, le dirigeant doit prendre à bras le corps le sujet de la gestion du risque numérique comme des risques de son entreprise au sens large avec la RSE. La mise en place de politiques de sécurité (PSSI) et d'un système de management (SMSI) au sens ISO 27001 est des plus conseillé. Il est important pour le dirigeant de se faire accompagner à titre personnel dans cette stratégie de mise en oeuvre et des outils nécessaires. A défaut il met en avant sa propre responsabilité avec toutes les conséquences.

Source: https://www.nis-2-directive.com/

Emmanuel TOUSSAINT

Commentaires

Posts les plus consultés de ce blog

SPÉCIFIER DES EXIGENCES DE SÉCURITÉ SALESFORCE

Accélérez votre réussite en tant que RSSI grâce au coaching personnalisé en sécurité informatique

ÉCHECS DES PROJETS DIGITAUX