MS solution Partner
Upper-Link est depuis plus de 10 ans un partenaire de Microsoft. Découvrez nos certifications.
Espace client
Directive NIS2

Directive NIS2, quels impacts?

Table des matières

NIS2, qu'est-ce que c'est ?

NIS2, qu’est ce que c’est ?

C’est une directive européenne destinée à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union Européenne. 

RESUME RAPIDE

-Quand sera-t-elle sera appliquée en France ?

 Une fois que la transposition nationale de la directive européenne sera finalisée au plus tard 17/10/2024

-Qui sera concerné par la Directive :

Secteurs essentiels au fonctionnement de l’état

-Exigence des entités concernées :

Se notifier auprès de l’ANSSI

Déclaration à l’ANSSI des incidents majeurs

date de mise en application

La France a pour obligation de finaliser la transposition de NIS2 en droit national au plus tard le 17/10/2024

A partir de cette date (ou avant) les entités (sociétés ou collectivités) auront à disposition la directive finalisée

La directive finalisée précisera le délai de mise en conformité

Entités concernées

Les entités concernées sont reparties en 2 annexes d’activités et seront éligible suivant leur taille ou leur chiffre d’affaires :

Entités concernées Annexe 1

Quels sont les services des TIC (Service de l’information et de la communication) ? 

  • les services de téléphonie vocale
  • les services de transmission de données informatiques 
  • les services informatiques
  • les services de communication par Internet (voix sur IP)
  • le service de multimédia et d’audiovisuel 
  • les services de commerce électronique 

L’administration public mais également les collectivités territoriales seront certainement concernées

Entités concernées Annexe 2

 

Entités Essentielles et Importantes

NIS2 intègre deux typologies d’entités différentes :

  • Les entités personnelles (EE)
  • Les entités importantes (EI)

NIS2 intègre la proportionnalité entre EE et EI dans :

  • Les mesures de sécurité
    • Possibilité d’avoir des niveaux d’exigences différents entre les EE et les EI, notamment pour prendre en considération els moyens et enheux d’une grande entreprise versus d’une PME
  • La régulation
    • Pour les EE : régulation dite « ex-ante » (contrôle à discrétion de l’ANSSI)
    • Pour les EI : régulation dite « ex-post » (contrôle en cas de connaissance d’une non-conformité)
  • Les sanctions
    • Seront d’une ampleur comparable à celui du RGPD
    • De manière simplifiée, sanctions pouvant aller jusqu’à 2% du CA mondial pour les EE et 1,4% pour les EI

Obligation des entités

Notification à l’ANSSI

  • La France envisage de mettre en place un mécanisme permettant aux entités de se notifier auprès de l’ANSSI

Communication des infirmations de contact et mise à jour

  • Type d’information à communiquer à minima :
    • Nom de l’entité
    • Adresse et coordonnées actualisées
    • Secteurs d’activité
    • Liste des états membres de l’UE dans lesquels sont fournis les services

Déclaration à l’ANSSI des incidents majeurs

  • La déclaration d’incident s’effectuera en plusieurs étapes :
    • Notification
    • Rapport d’avancement
    • Rapport final
1. les politiques relatives à l’analyse des risques et à la sécurité du SI
2. la gestion des incidents
3. la continuité des activités (sauvegardes, PRA gestion de crises)
4.  la sécurité de la chaine d’approvisionnement (fournisseurs/prestataires)
5. la sécurité de l’acquisition , du développement et de la maintenance des SI
6. des politiques et des procédures pour évaluer l’efficacité des mesures de gestion des risques en matière de cybersécurité 
7. les pratiques de base (cyberhygiène et formation à la cybersécurité)
8. des politiques et des procédures relatives à l’utilisation de la cryptographie
9. la sécurité des ressources humaines, des politiques de contrôle d’accès et la gestion des actifs
10. l’utilisation de solutions d’authentification à plusieurs facteurs ou d’authentification continue, de communications vocales, vidéos et textuelles sécurisées et des systèmes de sécurisés de communication d’urgence au sein de l’entité, selon les besoins. 
 
Référence
site de l’ANSSI : https://cyber.gouv.fr/la-directive-nis-2

Comment Upper-Link peut vous aider ?

N’attendez surtout pas octobre 2024 pour prendre des mesures de cybersécurités car leur nécessité son déjà d’actualité.

Upper Link peut vous accompagner pour la définition d’une politique de sécurité en commencent par les éléments essentiels à une sécurisation minimale.

NIS2 demandes également une organisation de la sécurité du system d’information plus avancé avec entre autres une Gestions du risque, un plan de continuité et des politiques de sécurité.

Pour la mise en œuvre de ces mesures l’accompagnement d’un RSSI délégué est indispensable pour toutes sociétés qui n’a pas de RSSI interne ou équivalent :

L’Externalisation du RSSI : Un Pilier Stratégique pour la Cybersécurité des TPE et PME – UPPER-LINK

Contactez-nous : [email protected] 

Lisez aussi…

Le pouvoir de l'IA dans les attaques de phishing

Le pouvoir de l’IA dans les attaques de phishing

Comment l’intelligence artificielle joue un rôle de plus en plus important dans les attaques de phishing ainsi que dans les stratégies de …
Cybersécurité pendant les JO : quels enjeux ?

Cybersécurité pendant les JO : quels enjeux ?

Éclairage sur les défis de cybersécurité liés aux Jeux Olympiques et les stratégies de protection informatique pour contrer les cyberattaques. …

IA et apprentissage automatique : définition et fonctionnement

L’apprentissage automatique est basé sur des algorithmes et permet d’améliorer les performances décisionnelles et prédictives des entreprises. …
actualité - sauvegarde de data

Comment sauvegarder ses données ?

Prévenez les pertes de données dues aux bugs, virus, vols, ou pannes en protégeant vos fichiers critiques grâce aux méthodes de sauvegarde. …
Comment l'IA Copilot peut booster votre productivité

Comment l’IA Copilot peut booster votre productivité ?

Explorez comment l’assistant IA Copilot intégré à Microsoft 365 révolutionne la productivité professionnelle avec des fonctionnalités innovantes. …
Norme ISO 42001

Norme ISO 42001: un pilier pour la gestion de l’IA

La norme ISO 42001 deviendra un pilier pour la gestion de l’IA, en offrant un cadre pour son utilisation éthique et transparente …

Nos événements

Webinar: A la découverte du Centre d’administration Defender XDR

Webinars
27/06/2024

Webinar: Plongez dans l’univers de Microsoft Dynamics 365 CRM l 2024

Webinars
25/06/2024

[Petit Dej] Transformez votre façon de travailler avec l’IA : Adoptez Microsoft 365 Copilot

Petit dej'
20/06/2024