Les règles européennes en matière de cybersécurité ont fait peau neuve. Adoptée en 2016 dans l’objectif d’atténuer les menaces pesant sur les réseaux et les systèmes d’information, la première Directive concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union (Directive NIS) a rapidement montré ses limites et s’est vue remplacée par la Directive NIS2, entrée en vigueur en janvier 2023.
Mon entreprise est-elle concernée ?
La directive NIS2 a considérablement élargi le nombre de secteurs concernés, car considérés comme hautement dépendants des technologies de l’information et de la communication, parmi lesquels on retrouve entre autres :
- L’énergie ;
- Les transports ;
- Le secteur bancaire ;
- La santé ;
- Les services postaux ;
- La gestion de déchets ;
- La recherche.
Grande nouveauté de la nouvelle directive, elle distingue désormais les entités dites essentielles et importantes. Cela signifie que toutes les moyennes et grandes entreprises de ces secteurs seront soumises aux nouvelles règles. Les petites entreprises qui présentent des risques élevés en matière de cybersécurité seront, elles aussi, soumises à la Directive NIS2.
Comment mon entreprise doit-elle se conformer ?
La Directive NIS2 propose une liste de dix éléments clés pour la gestion des risques que toute entreprise doit appliquer, allant de la gestion et la divulgation des incidents et des vulnérabilités, à l’utilisation de la cryptographie, en passant par la sécurité dans les chaînes d’approvisionnement.
Les entreprises sont également soumises à une obligation d’information quand elles sont confrontées à un incident de sécurité. Elles disposeront d’un délai de 24 heures pour alerter les autorités nationales. Elles auront ensuite 72 heures pour notifier les autorités de manière plus approfondie.
Quels sont les risques pour mon entreprise ?
La violation des dispositions de la Directive peut entraîner l’application d’amendes administratives, allant de sept à dix millions d’euros, ou de 1,4 à 2% du chiffre d’affaires annuel mondial total de l’entreprise, selon qu’elle soit considérée comme essentielle ou importante, le montant le plus élevé étant retenu.
Notre conseil :
Avec un nombre grandissant de secteurs visés et des sanctions potentiellement lourdes, votre entreprise sera probablement concernée par les nouvelles règles européennes.
L’occasion d’obtenir toutes les réponses aux défis posés par la cybersécurité !
