NIS2

Comment Kappa Data peut aider avec les directives NIS2

Qu’est-ce que le NIS2 ?

NIS2 est une directive européenne axée sur la sécurité des réseaux et des systèmes d’information (NIS2). Elle contient un ensemble de règles visant à garantir la sécurité et la résilience de ces systèmes dans l’ensemble de l’Union européenne (UE). Cette directive vise à améliorer la cybersécurité dans l’UE de plusieurs façons. Ces lignes directrices s’inscrivent dans le prolongement des lignes directrices NIS existantes (depuis 2016), mais s’étendent également à d’autres secteurs.

Les pays de l’UE ayant adopté la directive NIS2 d’ici fin 2022, les États membres ont encore deux ans pour la transposer dans leur législation nationale. Le gouvernement belge a approuvé le projet de loi depuis le 18 avril et la transposition est en cours, l’objectif étant qu’elle entre en vigueur le 17 octobre 2024.

Compliancy NIS2

Les directives NIS2 s’appliquent aux entités et services critiques (importants) et très critiques (essentiels). Les entreprises de 50 à 250 employés sont considérées comme des entités “importantes”, tandis que les entités de plus de 250 employés sont considérées comme des entités “essentielles”. Les entités plus petites n’entrent pas dans ce champ d’application, mais peuvent néanmoins être considérées comme critiques ou très critiques par notre gouvernement. Dans la chaîne d’approvisionnement en particulier, les grandes entités peuvent avoir des exigences de sécurité plus élevées pour leurs “petits” fournisseurs. C’est pourquoi il est important de bien s’informer auprès du Cybersecurity Center Belgium (CCB).

Un élément important de ces directives est la responsabilisation de l’encadrement supérieur. Ainsi, le top management est tenu de suivre une formation supplémentaire pour maîtriser le contenu de ces directives NIS2. En cas d’incident, la direction peut être tenue pour responsable. La sensibilisation de son propre personnel doit également être mise à jour régulièrement.

CyberFundamentals Framework

Le CCB fait également référence au cadre des cyberfondamentaux qui est basé sur le cadre bien connu de la norme ISO27001. Ce cadre se compose de cinq fonctions essentielles :

1. Identifier : Connaître les principales cybermenaces qui pèsent sur vos actifs les plus précieux. En fait, vous ne pouvez pas protéger ce dont vous ignorez l’existence. Cette fonction aide à
   développer une compréhension organisationnelle de la manière de gérer les risques de cybersécurité liés aux systèmes, aux personnes, aux biens, aux données et aux capacités.
2. Protéger : La fonction de protection se concentre sur l’élaboration et la mise en œuvre des mesures de sauvegarde nécessaires pour atténuer ou contenir un cyberrisque.
3. Détecter : L’objectif de la fonction de détection est de veiller à ce que les événements liés à la cybersécurité soient détectés en temps utile.
4. Réponse : cette fonction concerne les contrôles qui permettent de répondre aux incidents de cybersécurité. Cette fonction permet de limiter l’impact d’un éventuel incident de cybersécurité.
5. Récupération : se concentre sur les mesures de protection qui aident à maintenir la résilience et à restaurer les services affectés par un incident de cybersécurité.

Ce cadre des cyberfondamentaux est déjà utilisé comme cadre pour les entités importantes et essentielles. En bref, toute entreprise répondant aux directives NIS2 devra appliquer les cinq fonctions essentielles du cadre.

Chez Kappa Data, par exemple, nous recevons déjà de nombreuses demandes de renseignements sur les différentes solutions pour les exigences de détection et de réponse.

La législation NIS2 constituera un défi pour de nombreuses entreprises. Outre l’application de technologies de sécurité supplémentaires, la direction de l’entreprise devra procéder à des évaluations des risques dans tous les domaines de son activité. De nombreuses procédures et réglementations devront donc être élaborées, ce qui demandera beaucoup de temps et d’administration à l’entreprise.

Calendrier de mise en œuvre du NIS2

Le 18 avril, le Parlement belge a également approuvé à l’unanimité le projet de loi de l’UE et les travaux sont actuellement en cours pour transformer ce projet en un véritable texte de loi qui entrera en vigueur le 17 octobre 2024.

Les entreprises disposent encore d’un délai supplémentaire pour s’enregistrer en tant qu’entreprise essentielle importante auprès de la CCB jusqu’au 31 mars 2025, mais elles doivent prendre l’initiative de le faire elles-mêmes.

La date limite d’application de la législation NIS2 a été fixée au 18 avril 2027, ce qui laisse aux entreprises le temps de mettre en place les procédures, l’administration et les autres applications.

Toutefois, les entités essentielles devront se conformer aux mesures de base du cadre des cyberfondamentaux d’ici le 18 avril 2026.

Pour les entités essentielles et les entités clés, il est recommandé de commencer par mettre en œuvre les mesures de base du cadre Cyfun et vous pouvez également obtenir une attestation à cet effet auprès de l’organisme d’évaluation de la conformité.

Vous pouvez visiter la page ci-dessus pour effectuer bientôt votre propre test de portée, trouver un outil d’auto-évaluation et obtenir une attestation.

En savoir plus sur les solutions NIS2

Vous avez manqué l’un de nos webinaires, mais vous aimeriez avoir plus d’informations sur la façon dont Kappa Data peut aider votre entreprise ? N’hésitez pas à envoyer votre question à l’une des adresses email ci-dessous :

[email protected] | [email protected]

Conclusion

L’adoption d’une législation sur la cybersécurité permettra aux entreprises de mieux résister aux cyberattaques massives des pirates informatiques. Toutefois, cette législation causera de nombreux maux de tête à de nombreux chefs d’entreprise. La sensibilisation des entreprises, la mise en place de procédures et de systèmes ISMS sont autant de défis à relever. C’est pourquoi, chez Kappa Data, nous offrons nos connaissances et nos solutions aux partenaires informatiques pour résoudre les problèmes liés à la visibilité totale du réseau, à la gestion de la vulnérabilité, aux solutions de détection-réponse-récupération, au contrôle d’accès au réseau et à bien d’autres technologies considérées comme nécessaires dans le cadre de la législation NIS2.

En tant que distributeur à valeur ajoutée, nous recommandons à nos partenaires de s’adresser eux-mêmes à leur clientèle et d’entamer la conversation sur la manière dont ils peuvent décharger leurs clients de la technologie. Vous souhaitez en savoir plus sur une ou plusieurs solutions ? Contactez votre account manager pour organiser une réunion. Nous sommes heureux d’aider nos partenaires à mettre en œuvre des solutions technologiques pour répondre aux exigences de NIS2 avec leurs clients.

Vous avez encore des questions sur le NIS2 ? Prenez contact avec notre équipe. Nous nous ferons un plaisir de vous aider.