Au vu de l’intensification de la cybermenace et de la dépendance accrue de notre société à l’égard des réseaux et des systèmes d’information, la directive NIS 1 (Network and Information Security, version 1) devait être revue. Cette directive se veut être un dispositif de cybersécurité pour les Opérateurs de services essentiels et avait donc pour objectif d’assurer un niveau de sécurité élevé et commun pour les réseaux et les systèmes de l’Union européenne.
La nouvelle version, NIS 2, maintient la mission de base en visant à harmoniser et à renforcer la cybersécurité sur le territoire européen. Publiée au journal officiel de l’UE du 14 décembre 2022, elle devra être transposée par les Etats-membres d’ici le 18 octobre 2024 avec comme objectifs spécifiques ;
- obliger les autorités nationales à consacrer l’attention nécessaire à la cybersécurité;
- renforcer la coopération européenne entre les autorités de cybersécurité;
- imposer aux principaux opérateurs des secteurs clés de notre société la prise de mesures de sécurité et la notification d’incidents.
La loi belge de transposition de la directive NIS2 s’appliquera, en principe, aux entités établies en Belgique et concernera les entreprises de plus de 50 travailleurs actives dans un des secteurs renseignés dans les annexes I et II de la directive.
Quels sont les secteurs concernés ?
Les secteurs hautement critiques (voir annexe I de la directive) sont:
- l’énergie (électricité, réseaux de chaleur et de froid, pétrole, gaz, hydrogène)
- les transports (aériens, ferroviaires, par eau, routiers)
- le secteur bancaire
- les infrastructures des marchés financiers
- la santé (pas seulement les hôpitaux mais aussi des laboratoires de référence, les fabricants de dispositifs médicaux ou de préparations pharmaceutiques et autres)
- l’eau potable
- les eaux usées
- l’infrastructure numérique
- la gestion des services TIC
- l’administration publique (centrale et régionale)
- l’espace.
Les autres secteurs critiques (voir annexe II de la directive) sont:
- les services postaux et d’expédition
- la gestion des déchets
- la fabrication, production et distribution de produits chimiques
- la production, transformation et distribution des denrées alimentaires
- la fabrication (de dispositifs médicaux et de dispositifs médicaux de diagnostic in vitro; de produits informatiques, électroniques et optiques; d’équipements électriques; de machines et équipements non classés ailleurs, véhicules automobiles, remorques et semi-remorques; d’autres matériels de transport)
- les fournisseurs numériques
- la recherche
Il s’agira pour les entités concernées de prendre les mesures appropriées et proportionnées pour gérer les risques qui menacent la sécurité des réseaux et des systèmes d’information qu’elles utilisent dans le cadre de leurs activités ou de la fourniture de leurs services, ainsi que pour éliminer ou réduire les conséquences que les incidents ont sur les destinataires de leurs services et sur d’autres services.
Quelles sont les mesures à déployer ?
Les mesures de gestion des risques devront comprendre au moins:
- les politiques relatives à l’analyse des risques et à la sécurité des systèmes d’information
- la gestion des incidents (avec l’obligation de notification)
- la continuité des activités (gestion des sauvegardes, reprise des activités, …)
- la sécurité de la chaîne d’approvisionnement, y compris les relations entre chaque entité (fournisseurs ou prestataires de services directs
- la sécurité de l’acquisition, du développement et de la maintenance des réseaux et des systèmes d’information, y compris le traitement et la divulgation des vulnérabilités
- des politiques et des procédures pour évaluer l’efficacité des mesures de gestion des risques en matière de cybersécurité
- les pratiques de base en matière de cyberhygiène et la formation à la cybersécurité
- des politiques et des procédures relatives à l’utilisation de la cryptographie et, le cas échéant, du chiffrement
- la sécurité des ressources humaines, des politiques de contrôle d’accès et la gestion des actifs
- l’utilisation de solutions d’authentification à plusieurs facteurs ou d’authentification continue, de communications vocales, vidéo et textuelles sécurisées et de systèmes sécurisés de communication d’urgence au sein de l’entité, selon les besoins.
Conclusion ; Action ?
Les nouvelles obligations pour les entités concernées ne devraient entrer en vigueur qu’à l’échéance du délai de transposition, à savoir octobre 2024. Il est néanmoins pertinent, pour ces entités, de se préparer dès à présent aux obligations générales découlant de la directive, sans attendre la loi de transposition.
Il leur est donc recommandé d’entamer (ou de poursuivre) leurs efforts pour augmenter leur niveau de cybersécurité.
De part notre expertise et la certification 27001 de notre équipe, E&V Partners peut vous assister dans l’amélioration de votre cybersécurité. En effet, nous avons une vaste expérience dans la rédaction et l’implémentation de politique de sécurité. Nous pouvons également vous assister dans la gestion des incidents, la continuité de vos activités, l’inventaire de vos actifs, les contrôles de vos accès physiques et numériques et la sensibilisation à la sécurité de l’ensemble de vos équipes.
Contactez nous !
Sources
- https://www.ssi.gouv.fr/directive-nis-2-ce-qui-va-changer-pour-les-entreprises-et-ladministration-francaises/
- https://datanews.levif.be/actualite/securite/en-bon-pere-de-famille-nattendez-pas-la-nouvelle-directive-nis2/
- https://ccb.belgium.be/fr/actualit%C3%A9/nis-2-%C3%A9tat-des-lieux
- https://ccb.belgium.be/fr/la-directive-nis2-que-cela-signifie-il-pour-mon-organisation
