En cours de transposition en France, le nouveau cadre de cybersécurité posé par la directive NIS 2 va transformer en profondeur la manière dont les entreprises et les administrations protègent leur système d’information des menaces qui mettent en péril la continuité des services essentiels de notre économie.

S’inscrivant dans la droite lignée du RGPD, NIS 2 instaure un principe de responsabilité encadré par un dispositif de contrôle par l’ANSSI et de sanction à hauteur de 10 millions d’euros ou 10% du chiffre d’affaires total annuel.

Comment préparer vos organisations à ce bouleversement et vous prémunir des contrôles et sanctions qui en résulteront ?

L’équipe Senosen vous donne les clés pour démarrer votre conformité en toute sérénité !

1. Déterminez si votre entité est « essentielle » ou « importante »

Avec un champ d’application étendu à 18 secteurs d’activités qui couvre aussi bien les acteurs de premier plan que leurs fournisseurs de produits et services TIC, la directive renforce vos chances d’être concerné par ses effets, ce qui impose de savoir dès à présent la catégorie d’entité à laquelle vous appartenez.

Nous vous conseillons d’utiliser le simulateur mis à disposition par l’ANSSI afin d’obtenir un résultat indicatif en attendant la transposition définitive de NIS 2.

La qualification de votre entité repose sur des critères de taille (nombre d’ETP, CA annuel de l’année passée, bilan annuel de l’année passée) et de secteur d’activités dans lequel vous exercez (secteurs dits « à haute criticité » ou « autres secteurs critiques »).

Une fois la transposition effectuée, soyez attentif aux désignations unitaires qui pourront être décidées par le gouvernement français afin de placer toute entité sous les effets de la nouvelle réglementation, en particulier dans les cas suivants :

Vous êtes le seul prestataire d'un service qui est essentiel au maintien d'activités sociétales ou économiques critiques ;
Une perturbation des services que vous fournissez pourrait avoir un impact important sur la sécurité publique, la sûreté publique ou la santé publique ;
Une perturbation des services que vous fournissez pourrait induire un risque systémique important, en particulier pour les secteurs où cette perturbation pourrait avoir un impact transfrontière ;
L’Etat vous considère comme une entité critique en raison de votre importance au niveau national ou régional pour le secteur ou le type de service que vous exercez, ou pour d'autres secteurs interdépendants en France.

A noter enfin que si votre entité n’est pas directement impactée par NIS 2 mais que vos activités sont en lien avec une organisation couverte par la directive, il y a de fortes chances que vous fassiez l’objet de l’effet rebond des obligations dont sont tenues les Entités essentielles et importantes de garantir la conformité de leurs fournisseurs et prestataires de services TIC.

2. Mettez à jour votre politique de gestion des incidents de sécurité SI

Parce que vous êtes en permanence exposé au risque de cyberattaque, nous vous conseillons d’agir sans attendre la transposition de NIS 2 pour produire ou mettre à jour votre politique de gestion des incidents de sécurité de votre système d’information.

Vous devez mettre en place un dispositif de triple reporting de vos incidents de sécurité dès leur prise de connaissance :

· Une alerte précoce dans les 24 heures pour notifier de l’existence de l’incident et demander une assistance selon la gravité de son impact ;

· Une notification d’incident dans les 72 heures pour informer de l’avancement de la situation ;

· La transmission d’un rapport final dans un délai maximum d’un mois à compter de la notification d’incident.

Ces notifications sont à effectuer, sans retard injustifié, via la plateforme de déclaration d’incidents du CERT-FR.

Afin de vous préserver du risque de sanction par l’ANSSI, ce dispositif doit être accompagné d’une documentation recensant les preuves de découverte de l’incident ainsi que des mesures réactives et proactives pour le faire cesser et empêcher qu’il ne se produise à nouveau.

Dans une approche cross-compliance, utilisez la documentation de vos incidents NIS 2 pour remplir vos autres obligations de notification (RGPD, IA Act, DORA …).

3. Cartographiez vos systèmes d’information

Fondée sur pas moins de 20 objectifs de sécurité, NIS 2 va impulser la mise en place d’un véritable dispositif de gestion des risques de votre système d’information, avec des niveaux d'exigence distincts et proportionnés selon que vous êtes une entité essentielle ou importante.

Le recensement des actifs de votre système d’information est une étape cruciale que vous pouvez démarrer sans tarder car il contribue non seulement à préparer votre audit de risques cyber mais aussi et surtout à mener des analyses post-incidents.

Chantier de longue haleine, la réussite de votre cartographie repose sur une démarche incrémentale et itérative qui consiste à identifier les actifs qui n’ont pas encore été recensés et à affiner ceux qui l’ont déjà été.

Une fois démarrée, vous devrez maintenir votre cartographie à jour afin de garantir sa fiabilité lorsque vous en exploiterez le contenu pour mener votre audit, appliquer les mesures de sécurité et assurer le suivi des risques.

4. Désignez le pilote de votre conformité NIS 2

La réussite du démarrage de votre conformité NIS 2 repose sur son pilote qui devra être capable de définir votre feuille de route, planifier le déroulement du projet, constituer une équipe projet et sensibiliser votre direction ainsi que vos personnels.

Vous pouvez confier le pilotage de votre conformité NIS 2 à un de vos salariés préalablement formé ou faire appel à un pilote externalisé.

Quel que soit votre choix, Senosen est votre partenaire pour la formation de vos salariés et l’externalisation de vos fonctions conformité NIS 2.

Découvrez nos offres NIS 2 !