MS solution Partner
Upper-Link est depuis plus de 10 ans un partenaire de Microsoft. Découvrez nos certifications.
Directive NIS2

Directive NIS2, quels impacts?

Table des matières

NIS2, qu'est-ce que c'est ?

NIS2, qu’est ce que c’est ?

C’est une directive européenne destinée à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union Européenne. 

RESUME RAPIDE

-Quand sera-t-elle sera appliquée en France ?

 Une fois que la transposition nationale de la directive européenne sera finalisée au plus tard 17/10/2024

-Qui sera concerné par la Directive :

Secteurs essentiels au fonctionnement de l’état

-Exigence des entités concernées :

Se notifier auprès de l’ANSSI

Déclaration à l’ANSSI des incidents majeurs

date de mise en application

La France a pour obligation de finaliser la transposition de NIS2 en droit national au plus tard le 17/10/2024

A partir de cette date (ou avant) les entités (sociétés ou collectivités) auront à disposition la directive finalisée

La directive finalisée précisera le délai de mise en conformité

Entités concernées

Les entités concernées sont reparties en 2 annexes d’activités et seront éligible suivant leur taille ou leur chiffre d’affaires :

Entités concernées Annexe 1

Quels sont les services des TIC (Service de l’information et de la communication) ? 

  • les services de téléphonie vocale
  • les services de transmission de données informatiques 
  • les services informatiques
  • les services de communication par Internet (voix sur IP)
  • le service de multimédia et d’audiovisuel 
  • les services de commerce électronique 

L’administration public mais également les collectivités territoriales seront certainement concernées

Entités concernées Annexe 2

 

Entités Essentielles et Importantes

NIS2 intègre deux typologies d’entités différentes :

  • Les entités personnelles (EE)
  • Les entités importantes (EI)

NIS2 intègre la proportionnalité entre EE et EI dans :

  • Les mesures de sécurité
    • Possibilité d’avoir des niveaux d’exigences différents entre les EE et les EI, notamment pour prendre en considération els moyens et enheux d’une grande entreprise versus d’une PME
  • La régulation
    • Pour les EE : régulation dite « ex-ante » (contrôle à discrétion de l’ANSSI)
    • Pour les EI : régulation dite « ex-post » (contrôle en cas de connaissance d’une non-conformité)
  • Les sanctions
    • Seront d’une ampleur comparable à celui du RGPD
    • De manière simplifiée, sanctions pouvant aller jusqu’à 2% du CA mondial pour les EE et 1,4% pour les EI

Obligation des entités

Notification à l’ANSSI

  • La France envisage de mettre en place un mécanisme permettant aux entités de se notifier auprès de l’ANSSI

Communication des infirmations de contact et mise à jour

  • Type d’information à communiquer à minima :
    • Nom de l’entité
    • Adresse et coordonnées actualisées
    • Secteurs d’activité
    • Liste des états membres de l’UE dans lesquels sont fournis les services

Déclaration à l’ANSSI des incidents majeurs

  • La déclaration d’incident s’effectuera en plusieurs étapes :
    • Notification
    • Rapport d’avancement
    • Rapport final
1. les politiques relatives à l’analyse des risques et à la sécurité du SI
2. la gestion des incidents
3. la continuité des activités (sauvegardes, PRA gestion de crises)
4.  la sécurité de la chaine d’approvisionnement (fournisseurs/prestataires)
5. la sécurité de l’acquisition , du développement et de la maintenance des SI
6. des politiques et des procédures pour évaluer l’efficacité des mesures de gestion des risques en matière de cybersécurité 
7. les pratiques de base (cyberhygiène et formation à la cybersécurité)
8. des politiques et des procédures relatives à l’utilisation de la cryptographie
9. la sécurité des ressources humaines, des politiques de contrôle d’accès et la gestion des actifs
10. l’utilisation de solutions d’authentification à plusieurs facteurs ou d’authentification continue, de communications vocales, vidéos et textuelles sécurisées et des systèmes de sécurisés de communication d’urgence au sein de l’entité, selon les besoins. 
 
Référence
site de l’ANSSI : https://cyber.gouv.fr/la-directive-nis-2

Comment Upper-Link peut vous aider ?

N’attendez surtout pas octobre 2024 pour prendre des mesures de cybersécurités car leur nécessité son déjà d’actualité.

Upper Link peut vous accompagner pour la définition d’une politique de sécurité en commencent par les éléments essentiels à une sécurisation minimale.

NIS2 demandes également une organisation de la sécurité du system d’information plus avancé avec entre autres une Gestions du risque, un plan de continuité et des politiques de sécurité.

Pour la mise en œuvre de ces mesures l’accompagnement d’un RSSI délégué est indispensable pour toutes sociétés qui n’a pas de RSSI interne ou équivalent :

L’Externalisation du RSSI : Un Pilier Stratégique pour la Cybersécurité des TPE et PME – UPPER-LINK

Conctactez-nous : [email protected] 

Lisez aussi…

ChatGPT : un ami à surveiller !

ChatGPT, ce modèle de langage avancé a intégré notre quotidien personnel comme professionnel. …
Directive NIS2

Directive NIS2, quels impacts?

NIIS2, directive européenne destinée à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union Européenne. …
Vol de données Linkedin

Vol de données LinkedIn, analyse des menaces et incidents

Un ensemble de données issues de diverses violations LinkedIn a commencé à circuler sur le Dark Web en novembre 2023 …

L’Externalisation du RSSI : Un Pilier Stratégique pour la Cybersécurité des TPE et PME

Comment un RSSI peut-il concrètement vous aider dans la conduite de votre entreprise, qu’elle soit une TPE ou une PME. Quels réflexes …

2 Milliards d’euros : le coût des cyberattaques réussies en France

Découvrez-en davantage sur la réalité affolante qui se cache derrière le montant exorbitant des cyberattaques en France ainsi que la manière de …

Le sport : un parcours vers la réussite cher à Upper-Link

Upper-Link porte des valeurs fortes autour du sport et sa pratique. Nous puisons dans l’ensemble des disciplines sportives, les éléments forts de …

Nos événements

Webinar – Move to Cloud, réussir sa transition vers Azure en toute sécurité

Webinars
23/04/2024

Webinar – Découvrir l’étendue de Microsoft Power BI et ses bonnes pratiques

Webinars
26/03/2024

[WEBINAR] Démonstration de la puissance de Copilot 365 dans vos solutions Microsoft

Webinars
19/03/2024