Tout ce dont vous avez besoin pour vous préparer à la directive NIS 2
Sophos vous accompagne dans vos efforts de conformité NIS 2
Qu’est-ce que NIS 2 ?Êtes-vous concernés ?
La directive NIS 2 est entrée en vigueur en janvier 2023. Les États membres de l’UE avaient jusqu’au 17 octobre 2024 pour intégrer les exigences de sécurité de NIS 2 dans leur législation nationale. À cette date, toutes les entreprises relevant du champ d’application de NIS 2 doivent se conformer aux exigences mises à jour.
Quelles sont les nouveautés de la directive NIS 2 ?
NIS 2 remplace la première directive NIS introduite en 2016, qui était le premier texte législatif de l’UE sur la cybersécurité. NIS 2 élargit le champ d’application du cadre initial à un plus grand nombre d’industries, introduit des mesures de surveillance strictes pour les autorités nationales, met davantage l’accent sur les chaînes d’approvisionnement, prévoit une application plus stricte de la législation et des sanctions plus sévères en cas de non-conformité.
À qui s’adresse la directive NIS 2 ?
La première directive NIS s’appliquait principalement aux organisations d’infrastructures critiques, n’intégrant dans les exigences de la directive que 7 secteurs industriels en tant qu’opérateurs de services essentiels (OSE) et 3 secteurs industriels en tant que fournisseurs de services numériques (FSN). NIS 2 élargit considérablement le champ d’application en incluant 11 secteurs industriels en tant que entités essentielles (EE) et 7 secteurs industriels en tant que entités importantes (EI).
Les entités essentielles sont soumises à un régime de surveillance plus intensif dans lequel la conformité ex ante et ex post est contrôlée (ce qui signifie que les entités seront tenues de satisfaire aux exigences de surveillance dès l’introduction de NIS 2). Les entités importantes sont soumises à une forme de surveillance plus légère, uniquement a posteriori (ce qui signifie que des mesures ne sont prises que si et lorsque les autorités reçoivent des preuves de non-conformité).
Une organisation est concernée par la directive NIS 2 si :
- L’organisation fournit des services ou mène des activités dans l’un des États membres de l’UE.
- Sauf exception, l’organisation emploie au moins 50 personnes ou a un chiffre d’affaires annuel ou un bilan comptable de plus de 10 millions d’euros.
- L’organisation opère dans l’un des 18 secteurs spécifiés par la directive NIS 2 dans les Annexe I et Annexe II.
La directive NIS 2 identifie les organisations opérant dans les 18 secteurs suivants comme des entités essentielles et des entités importantes, en fonction du revenu annuel total et de la taille de l’organisation :
*Entités essentielles :
Il s’agit typiquement des organisations de taille moyenne et grande considérées comme essentielles pour l’économie et opérant dans un secteur figurant dans la colonne de gauche ci-dessus.
*Entités importantes :
Il s’agit typiquement des organisations de taille moyenne et grande considérées comme importantes pour l’économie, mais non critiques, et opérant dans un secteur figurant dans la colonne de droite ci-dessus.
Exceptions : Les entreprises qui sont le seul fournisseur d’un service particulier dans un État membre de l’UE ou dont l’interruption du service pourrait avoir un impact significatif peuvent être classées comme entité essentielle ou comme entité importante, quelle que soit leur taille.
Critères pour qu’une organisation soit considérée comme grande :
- 250 employés ou plus ; ou
- Un chiffre d’affaires annuel de 50 millions d’euros ou plus et un total du bilan comptable de 43 millions d’euros ou plus.
Critères pour qu’une organisation soit considérée comme moyenne :
- 50 employés ou plus ; ou
- Un chiffre d’affaires et un total du bilan comptable de 10 millions d’euros ou plus.
Les petites ou micro-organisations ne sont pas exclues du champ d’application de NIS 2. Les États membres peuvent étendre les exigences de NIS 2 si une entité remplit des critères spécifiques en tant qu’acteur clé de la société, de l’économie, ou de certains secteurs ou types de services.
Vous ne savez pas si votre organisation est concernée par la directive NIS 2 ?
Faites notre test d’auto-évaluation NIS 2 pour le savoir.
Sanctions en cas de non-respect de la directive NIS 2
NIS 2 introduit des sanctions plus strictes pour les entités essentielles et les entités importantes qui ne respectent pas les exigences en matière de sécurité ou qui ne signalent pas les incidents. Bien que les amendes spécifiques puissent varier en fonction de l’État membre, la directive NIS 2 vise à harmoniser les sanctions dans tous les États membres en établissant une liste minimale de sanctions administratives. Les différents types de sanctions en cas de non-conformité sont les suivants :
Sanctions non monétaires
NIS 2 donne plus de pouvoir aux autorités nationales de contrôle pour superviser et faire respecter les remédiations non monétaires, y compris :
- Ordonnances de conformité (les régulateurs peuvent émettre un ordre de mise en œuvre d’actions spécifiques)
- Instructions contraignantes (les régulateurs peuvent exiger d’une entreprise qu’elle prenne des mesures spécifiques)
- Audit de sécurité (arrêté réglementaire de mise en œuvre d’une mesure de sécurité)
- Ordonnances de notification de menace aux clients des entités (avis public de non-conformité)
- Interdictions temporaires (arrêtés réglementaires interdisant à la direction d’exercer des fonctions de direction)
Amendes administratives
- Pour les entités essentielles : une amende maximale de 10 000 000 € ou 2 % du revenu annuel global, le montant le plus élevé étant retenu.
- Pour les entités importantes : un maximum de 7 000 000 € ou 1,4 % du revenu annuel global, le montant le plus élevé étant retenu.
Responsabilité personnelle des dirigeants d’entités essentielles et d’entités importantes
NIS 2 comprend de nouvelles mesures qui permettent aux États membres de tenir les cadres supérieurs (par exemple, les membres du conseil d’administration, les directeurs, les cadres dirigeants) des entités essentielles et des entités importantes personnellement responsables des exigences de NIS 2. Il s’agit notamment d’exiger de l’entreprise qu’elle rende publiques les violations de la conformité, de déclarer publiquement la nature de la violation commise et la ou les personnes fautives, et d’interdire temporairement à des personnes d’occuper des postes de direction. En outre, le personnel d’encadrement peut être tenu personnellement responsable s’il a fait preuve de négligence grave en ne s’acquittant pas de ses responsabilités en matière de gestion de la cybersécurité.
Webinaire gratuit sur la directive NIS 2
Inscrivez-vous à notre webinaire à la demande, où nos experts décodent la directive NIS 2 pour vous. Découvrez comment Sophos peut vous aider à respecter les nouvelles règles.
Atteindre la conformité à la directive NIS 2 avec Sophos
La mise en conformité avec NIS 2 est l’occasion pour les organisations de renforcer leur posture de sécurité et leur résilience face aux cybermenaces, contribuant ainsi à renforcer le paysage numérique dans l’UE.
Sophos peut vous aider à répondre aux exigences de NIS 2 en toute confiance. Nos capacités étendues en matière de cybersécurité peuvent vous aider à répondre aux principales exigences de conformité de la directive NIS 2.
Sophos Endpoint | Sophos Firewall | Sophos MDR | Sophos XDR | |
| Politiques en matière d’analyse des risques |
|
|
| |
| Gestion des incidents |
|
|
|
|
| Continuité des activités |
|
|
|
|
| Sécurité de la supply chain |
|
|
| |
| Garantie de la sécurité du réseau et des systèmes d’information, y compris la détection et la divulgation des vulnérabilités. |
|
|
| |
| Évaluation de l’efficacité des mesures de gestion des risques liés à la cybersécurité |
|
|
| |
| Politiques concernant l’utilisation de la cryptographie et du chiffrement |
| |||
| Sécurité des ressources humaines, politiques de contrôle d’accès et gestion des actifs |
|
|
| |
| Utilisation de l’authentification multifacteur |
| |||
| Obligations d’information |
|
|
Pour en savoir plus sur les solutions de sécurité de Sophos qui répondent à vos besoins de conformité à la directive NIS 2, téléchargez notre guide des solutions Sophos pour NIS 2.
Comparaison de la directive NIS 2 avec d’autres réglementations en matière de cybersécurité
NIS 2 n’est que l’une des nombreuses réglementations en matière de cybersécurité auxquelles les opérateurs de l’UE doivent se conformer. Voici un aperçu de la relation entre la directive NIS 2 et d’autres cadres, et de la manière dont ils se recoupent :
NIS 2 | RGPD | DORA | CER | |
| Directive de l’UE | (UE) 2022/2555 | (UE) 2016/679 | (UE) 2022/2554 | (UE) 2022/2557 |
| Nom de la directive | Directive sur la sécurité des réseaux et de l’information 2 | Règlement général sur la protection des données | Digital Operational Resilience Act | Critical Entities Resilience Directive |
| Champ d’application | S’applique aux organisations qui sont des entités essentielles et des entités importantes ; remplace la directive NIS1 (UE) 2016/1148. | S’applique à toute organisation qui traite les données personnelles d’individus vivant dans l’UE et l’EEE. | S’applique à toutes les entités financières de l’UE. | S’applique aux organisations considérées comme critiques selon la décision de l’État membre. |
| Objectif | Conçu pour améliorer la cybersécurité et la résilience des réseaux et des systèmes d’information dans l’ensemble de l’Union européenne. | Protège les droits et libertés fondamentaux des individus, en particulier leur droit à la vie privée et la protection des données à caractère personnel. | Outre les exigences en matière de cybersécurité, cette directive met l’accent sur la résilience globale des institutions financières. | Met l’accent sur la résilience et la continuité des activités des entités critiques désignées dans la directive et fournit des orientations sur les moyens de défense contre les risques non liés à la cybercriminalité. |
| État de conformité avec la directive NIS 2 | - | Les organisations concernées par la directive NIS 2, et qui sont également des responsables du traitement des données ou des sous-traitants de données au sens du RGPD de l’UE, doivent se conformer à la fois au RGPD et à la directive NIS 2 de l’UE. | DORA et NIS 2 sont conçus pour fonctionner ensemble afin de renforcer les exigences en matière de cybersécurité ; chacun a des exigences distinctes, qui sont toutes deux requises par les institutions financières. | Les entités critiques doivent également se conformer à la directive NIS 2 en matière de cybersécurité et à la directive CER pour les incidents non liés au cyber. |
| Date d’effet | 17 octobre 2024 | 25 mai 2018 | 17 janvier 2025 | 18 octobre 2024 |
| Sanctions | Comprend les sanctions non monétaires (telles que les ordonnances de mise en conformité), les sanctions administratives et les sanctions pénales. Les amendes pour non-conformité infligées aux entités essentielles peuvent atteindre 2 % du chiffre d’affaires annuel mondial total ou 10 millions d’euros (le montant le plus élevé étant retenu), tandis que les amendes infligées aux entités importantes peuvent atteindre 1,4 % du chiffre d’affaires annuel mondial total ou 7 millions d’euros. | Les violations des dispositions du RGPD peuvent être sanctionnées par des pénalités importantes, pouvant aller jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial (sanctions monétaires de niveau 1) ou jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial (sanctions monétaires de niveau 2), selon la nature de la violation. | Des sanctions financières peuvent être imposées en cas d’infraction à la loi DORA, mais le montant exact dépend des dispositions violées et de la gravité de l’infraction. Les autorités de régulation peuvent également prendre d’autres mesures, notamment des avertissements, des restrictions opérationnelles ou des ordonnances réglementaires qui limitent les activités jusqu’à ce que la preuve de la conformité soit apportée. | Les sanctions en cas de non-conformité varieront d’un État membre à l’autre, mais il est probable qu’elles comprennent des amendes, la notification publique, la remédiation et le retrait de l’autorisation. |
Avis de non-responsabilité : Les spécifications et les descriptions dans le présent document sont susceptibles d’être modifiées sans préavis. Sophos décline toute garantie concernant ces informations. L’utilisation des produits Sophos ne constitue pas à elle seule un conseil juridique et ne garantit pas la conformité à la loi. Les informations contenues dans ce document ne constituent pas un conseil juridique. Les clients sont seuls responsables du respect de toutes les lois et règlements, et devraient consulter leur propre conseiller juridique pour obtenir des conseils concernant cette conformité.
Pour plus d’informations sur la manière d’atteindre vos objectifs de conformité avec la directive NIS 2 avant la date limite, contactez-nous dès aujourd’hui.
De nombreux secteurs industriels sont soumis à de nouvelles exigences
La Directive européenne NIS2 introduit de nouvelles réglementations plus strictes en matière de cybersécurité dans de nombreux secteurs d’activité. Les organisations devront s’y conformer d’ici à l’automne2024, sous peine de lourdes sanctions.
Comment se mettre en conformité
Utilisez nos ressources pour en savoir plus sur la Directive NIS2 et découvrir si votre organisation est concernée, ainsi que les sanctions encourues et les mesures à prendre pour s’y conformer.
Livre blanc
Consultez notre livre blanc, créé en collaboration avec l’avocat David Bomhard, pour comprendre :
- Les nouvelles exigences NIS 2
- Les mesures qui doivent être prises par les organisations
- Les risques liés à la responsabilité de la direction
- Comment les solutions Sophos vous aident à vous conformer aux nouvelles exigences
Fiche de conformité
Ce document explique comment les solutions Sophos offrent des outils efficaces pour aider les organisations à répondre au Chapitre IV de la directive NIS 2.
La directive détaille :
- Mesures de gestion des risques en matière de cybersécurité
- Obligations d’information
Fortes de ces informations, les organisations seront mieux équipées pour se conformer aux exigences.
En savoir plusÉtudes de cas
Découvrez comment nous avons protégé nos clients contre des cybermenaces.
Sicher vor modernen Cyberattacken
Die Schletter Solar GmbH profitiert jetzt von einer IT-Security-Lösung, die flexibel auf die Anforderungen der Zukunft reagieren kann.
Mehr Schutz und Effizienz
Dank Sophos MDR hat die Transportgemeinschaft Wangen AG (TGW) nun maximale Kontrolle und Transparenz und kann auch modernsten Attacken Paroli bieten.
Fit für die Zukunft
Die WEFRA LIFE ist jetzt langfristig für die Aufgaben in IT-Sicherheit gewappnet und optimal aufgestellt, um das Thema Cyber-Versicherung anzugehen.
AG Barr
Sophos a permis aux équipes informatiques d’AG Barr d’entreprendre des tâches plus proactives sans être contraintes de gérer les problèmes de sécurité.
HammondCare
Sophos a étendu la pratique de sécurité existante de HammondCare, lui évitant ainsi d’avoir à développer ses propres capacités en interne.