Qu'est ce que le NIS 2 ?

NIS2 Memo
Télécharger le mémo PDF
Je souhaite en discuter avec vous !
Sommaire

Qu’est ce que la directive NIS 2 ?

La directive NIS2 (Network and Information Security Directive) est un cadre législatif de l'Union européenne conçu pour renforcer les exigences en matière de cybersécurité pour les infrastructures critiques et les services essentiels en Europe. Face à des cybermenaces en constante évolution, elle élargit son champ d’application à un plus grand nombre de secteurs et impose des mesures de protection plus strictes :

  • Mesures techniques robustes
  • Gestion des accès
  • Réponse rapide aux incidents de sécurité
  • Contrôle accru des fournisseurs et sous-traitants
L'objectif est d'accroître la résilience face aux cybermenaces et de garantir une protection adéquate des réseaux et des services essentiels.

Suis-je concerné ?

Les entités des secteurs identifiés sont classées comme entités essentielles ou entités importantes en fonction de facteurs tels que la taille, le secteur et la criticité Sont concernés : Pour en savoir plus, vous pouvez faire le test sur : https://monespacenis2.cyber.gouv.fr

Secteurs de haute criticité :
Énergie, Infrastructures numériques, Transport, Espace, Santé, Administration publique, Eau potable, Banque, Eaux usées

Autres secteurs critiques :
Infrastructures des marchés financiers, Fabrication, production et distribution de produits chimiques, Industrie manufacturière, Recherche, Services TIC, Services postaux et de messagerie, Gestion des déchets (B2B), Production, transformation et distribution de produits alimentaires, Fournisseurs de services numériques.

Que contient la directive ?

Gestion des risques de cybersécurité (Article 18)
L’article exige des entités concernées qu'elles mettent en place une gestion des risques de cybersécurité intégrée, couvrant la prévention, la détection, et la réponse aux incidents de sécurité. La directive insiste sur une approche proactive, recommandant l’évaluation régulière des risques de sécurité pour adapter les mesures de protection.

Politiques de gouvernance en cybersécurité (Article 20)
Cet article demande aux entités d'établir des politiques de gouvernance adaptées, incluant des plans de continuité et de reprise d'activité pour garantir la résilience en cas de cyberincident. Il exige également la formation en cybersécurité pour le personnel et le développement d'une culture de la sécurité au sein de l'organisation.

Mesures de cybersécurité spécifiques (Article 21)
Parmis les plus important, cet article liste des mesures techniques obligatoires telles que le contrôle d’accès, la sécurisation des communications et l'authentification, la gestion des vulnérabilités, et la sécurisation des réseaux et systèmes d'information. L’article est décliné en 10 sous-points.

Surveillance et détection des incidents (Article 22)
L’article exige la mise en place de mécanismes de détection et de suivi des incidents, incluant l'analyse des logs et l'implémentation de systèmes de détection d’intrusion. Il nécessite notament un système de surveillance continue pour identifier rapidement les cybermenaces.

Notification des incidents (Article 23)
L’article 23 impose une obligation de notification rapide des incidents ayant un impact significatif sur la continuité des services, dans un délai de 24 heures pour l’alerte initiale et un rapport final dans les 30 jours.

Audits de cybersécurité et évaluation de conformité (Article 24)
Finalement, les entités doivent se soumettre à des audits réguliers pour évaluer leur conformité aux exigences de sécurité.

NIS2 Logo

La directive NIS 2 | ANSSI

Directive (UE) 2022/2555 sur EUR-Lex