NIS2 - « Network and Information Security » Qu’est-ce que NIS2 ? La directive sur les réseaux et les systèmes d'information (NIS2 - Network and Information Security 2 en anglais), parue au Journal Officiel de l’Union européenne le 27 décembre 2022 doit être transposée dans la législation nationale de chaque État membre de l'UE au plus tard le 17 octobre 2024. Elle vise à renforcer le niveau de cybersécurité au sein de l'Union européenne en introduisant de nouvelles exigences pour les organisations opérant dans divers secteurs. Succédant et remplaçant la directive NIS1 (Network and Information System Security 1), chaque État membre de l'UE devra établir des autorités locales de surveillance et d'exécution.En prévision de son entrée en vigueur, les organisations concernées doivent évaluer le niveau de conformité avec la directive NIS2 et prendre les mesures correctives nécessaires pour remédier aux éventuels écarts. Le non-respect des exigences NIS2 peut entraîner des amendes administratives pouvant aller jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel global pour les secteurs importants, ainsi qu'une suspension potentielle de l'équipe dirigeante de l'organisation. Secteurs concernés par NIS2 La directive NIS2 marque une évolution significative en élargissant considérablement son champ d'application. Initialement appliquée à sept secteurs dans la directive NIS1, elle s'étend désormais à dix-huit secteurs : les secteurs considérés essentiels et les secteurs considérés importants :Les 11 secteurs « essentiels » : énergie, santé, eau potable, transports, secteur bancaires, infrastructures des marchés financiers, eaux usées, infrastructures numériques, gestion des services TIC, administrations publiques, espace.Les 7 secteurs « importants » : secteurs postaux, gestion des déchets, fabrication production et distribution de produits chimiques, production transformation et distribution des denrées alimentaires, fabrication, fournisseurs numériques, recherche.Cette expansion vise à renforcer la cybersécurité dans ces secteurs de plus en plus essentiels et importants pour la société. Quelles sont les principales exigences de la directive NIS2 ? La directive NIS2 établit une orientation générale pour les exigences de gestion des risques liés à la cybersécurité, avec des détails plus spécifiques en cours d'élaboration. Cependant, les efforts substantiels pour satisfaire aux exigences de la directive NIS2 se concentreront principalement sur les domaines suivants :Évaluation des risques et politiques de sécurité.Traitement des incidents.Continuité des activités, reprise après sinistre et gestion de crise.Sécurité de la chaîne d'approvisionnement.Sécurité dans le développement et la maintenance des systèmes.Politiques et procédures d'évaluation de la sécurité.Cyber-hygiène, formation et sensibilisation (du conseil).Politiques et procédures en matière de cryptographie.Sécurité des ressources humaines, contrôle d'accès et gestion des actifs.Obligations en matière de rapports.Une des nouvelles exigences concerne l'implication du conseil d'administration dans la supervision, l'approbation et le contrôle des mesures de gestion des risques liés à la cybersécurité. Le conseil d'administration doit recevoir une formation en cybersécurité et peut être tenu personnellement responsable si l'organisation ne respecte pas les exigences de la directive NIS2.Une exigence majeure du NIS2 concerne la notification des incidents importants de cybersécurité. Les délais de notification sont contraignants, exigeant que les autorités de surveillance soient informées dans les 24 heures suivant la prise de connaissance d'un incident important. Un rapport d'incident doit être fourni dans les 72 heures, suivi d'un rapport final un mois plus tard. De plus, les clients doivent être informés et recevoir des conseils sur la protection contre les menaces liées à l'incident. Comment Protiviti peut vous aider ?Protiviti vous assiste sur l’ensemble de votre démarche de mise en conformité NIS2. Nous avons conçu des outils permettant d’analyser et évaluer votre niveau de maturité actuel, d’identifier les principaux axes d’améliorations sur chacun des chapitres puis de proposer des mesures spécifiques vous permettant de répondre aux exigences réglementaires, tout en adaptant notre plan de remédiation à votre environnement.Notre accompagnement repose sur une démarche projet qui permet de mobiliser l’ensemble des parties prenantes requises en vue de traiter toutes les questions transverses soulevées par la mise en conformité NIS2.Les équipes de Protiviti disposent d'un ensemble de compétences, de connaissances et d'expériences spécialisées pour vous accompagner dans ce projet de mise en conformité d’une importance cruciale. Elles bénéficient ainsi de formations continues et capitalisent sur les activités et missions qu’elles réalisent dans ce domaine. En outre, elles détiennent des certifications professionnelles pertinentes et reconnues en audit informatique, cybersécurité et gestion de projets, telles que : CISA, CISM, CISSP, ISO 27001, ISO 22301, PCI-DSS (QSA), TOGAF, ITIL, PMP, Scrum Master, OneTrust, etc. Ces certifications témoignent de notre engagement à maintenir un niveau élevé de compétences et à offrir à nos clients des services de la plus haute qualité. notre équipe pour la conformité EU Bernard Drui Bernard Drui est Managing Director et Country Market Leader chez Protiviti France. Il a plus de 25 ans d'expérience dans le monde des affaires, travaillant avec une variété d'organisations pour améliorer leur performance par la gestion des risques, l'efficacité ... En savoir plus Anis Hammami Anis est Associate Director chez Protiviti France, expérimenté dans le domaine de la technologie, la cybersécurité et de la Privacy. Anis a plus de 14 ans d'expérience au cours desquels il a dirigé plusieurs projets de cybersécurité et de Privacy dans plusieurs domaines ... En savoir plus Lyes Oussadit Lyes est Senior Manager chez Protiviti France, expérimenté dans le domaine de l’audit informatique, la gestion des risques IT et la sécurité de l’information. Il possède plus de 10 ans d'expérience au cours desquels il a dirigé plusieurs projets d’audit IT (externes et ... En savoir plus