Post

NIS-questions-fréquentes

NIS-questions-fréquentes

Olivier CHANTALOU, responsable du pôle audit & conseil / Gouvernance, Risques et Conformité, nous remonte les principales questions de ses clients concernant la nouvelle réglementation NIS 2 et les différences avec la précédente règlementation NIS.

Rappel sur la signification et l’utilisation de la directive NIS :

NIS signifie Network and Information System Security soit la sécurité pour votre système d’information et pour votre réseau.

La directive européenne (UE) 2016/1148 définit un cadre général pour assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information des pays européens. Elle régule la sécurité des SI, nécessaire au maintien de l’activité économique et sociétale du pays et ce, pour deux types d’acteurs : les opérateurs de services essentiels (OSE) et les fournisseurs de services numériques (FSN).

Dans NIS, les obligations concernant les Opérateurs de Services Essentiels (OSE) sont de trois niveaux :

  1. L’application des 23 règles de sécurité des Systèmes d’Information Essentiels -SIE- identifiés par l’OSE, regroupées en 4 catégories : gouvernance, protection, défense, résilience ;
  2. La notification à l’agence nationale de cybersécurité (en France l’ANSSI) des incidents de sécurité survenus sur les SIE ;
  3. La coopération de l’OSE en cas de contrôle par l’agence nationale de cybersécurité (ANSSI ou d’un prestataire d’audit qualifié par l’ANSSI).

Qu’est-ce que NIS2 ?

Les députés européens ont voté le 10 novembre 2022 la directive NIS 2.

NIS 2 rentrera en vigueur en France au cours du deuxième semestre 2024.

En France, de nombreuses entreprises et d’administrations seront soumises à cette nouvelle règlementation.

NIS2 distingue deux catégories d’entités régulées en fonction de leur niveau de criticité :

  1. Les entités essentielles ;
  2. Les entités importantes.

Dans ce cas, comment savoir si je suis un organisme important ou essentiel ?

La directive NIS 2 comprend des annexes 1 et 2 qui indiquent les secteurs, sous-secteurs et les types d’entité concernés. Si votre entité se retrouve dans un des secteurs, sous-secteur et type d’entité et que vous respectez les critères de taille, alors vous serez concernés par la directive NIS 2.

A l’échelle nationale, NIS 2 s’appliquera à des milliers d’entités appartenant à plus de dix-huit secteurs qui seront désormais régulés. Environ 600 types d’entités différentes seront concernés, nous aurons parmi eux des administrations de toutes tailles et des entreprises allant des PME aux groupes du CAC40. Les principaux critères d’intégration ont été définis au niveau européen.

Il s’agit principalement :

  • Du nombre d’employés,
  • Du chiffre d’affaires
  • De la nature de l’activité réalisée par l’entité.

Concrètement, quelles sont les différences entre NIS et NIS 2 ?

Premièrement, les définitions des organismes concernés ont évolué :

  • Dans NIS 1, les définitions des OSE et des FSN étaient décrites dans la directive.
  • Dans NIS 2, la directive décrit et précise, notamment dans ses annexes 1 et 2, les définitions afin de couvrir plus d’entreprises ou de collectivités et plus de services.

Deuxièmement, la portée d’application de la directive avec NIS 2 est élargie :

  • Dans NIS 1, seuls les opérateurs de services essentiels (OSE) et les fournisseurs de services numériques (FSN) étaient mentionnés. NIS 2 inclut davantage d’entités, comme par exemple les fournisseurs de service en ligne, les services numériques clés ainsi que de nombreux organismes publics.
  • Enfin, dans NIS 2, les obligations de sécurité sont développées pour plus d’entités, avec des exigences spécifiques en matière de cybersécurité et de notifications des incidents de sécurité.

Quels sont les avantages à respecter la directive NIS 2 ?

Les avantages peuvent être résumés de la manière suivante :

  1. Le renforcement de la confiance de vos clients, de vos collaborateurs et de l’ensemble de vos parties prenantes (management, actionnaires, fournisseurs) ;
  2. Une meilleure sécurité contre les cyberattaques, par la protection de vos infrastructures (le Network de NIS 2) et de vos SI ;
  3. Une meilleure capacité à poursuivre vos activités importantes pour vous qui se traduit notamment par une capacité de résilience et de continuité d’activités accrue ;
  4. Enfin, par l’assurance d’une conformité légale et l’évitement de sanctions financières que pourraient vous imposer les autorités de contrôle ou de régulation.

Sur tous ces sujets, OPPIDA peut vous accompagner en s’appuyant sur ses compétences techniques (audits techniques, laboratoire d’évaluation de solution de sécurité – CESTI) ainsi que sur son pôle GRC.

Infographie supplémentaire

Pour plus d’informations, veuillez consulter l’infographie suivante : Infographie-NIS1-vers-NIS2.

This post is licensed under CC BY 4.0 by the author.