Directive NIS 2 : protégez les entreprises des risques cyber
- mai 2, 2024
- 6 minutes
La directive NIS2 constitue un cadre réglementaire européen essentiel pour assurer un niveau élevé de cybersécurité au sein de tous les États membres. Dans un contexte où les cyberattaques continuent d’évoluer, tant en nombre qu’en sophistication, cette directive vient renforcer la sécurité du champs d’application de la première version NIS.
Qu’est-ce que NIS 2 ?
La directive NIS2 est une réglementation européenne entrée en vigueur le 16 janvier 2024. Elle vient consolider la première version sortie en 2016 et appliquée en France en 2018. Cette nouvelle version de la réglementation « Network and Information Security » offre un meilleur niveau de protection contre les menaces en matière de cybersécurité. Notamment au travers d’un ensemble de mesure de sécurité informatique pour les entreprises.
La directive NIS2 est une réglementation européenne, cependant, chaque État membre aura ses propres variantes. L’entrée en vigueur en France est prévue au plus tard en octobre 2024. Celle-ci ne signifie pas pour autant que toutes les exigences devront être respectées à partir de cette date. En effet certaines mesures auront une application directe tandis que d’autres bénéficieront d’un temps de mise en conformité.
La directive NIS 2 pour lutter contre les cyberattaques
La menace cyber est particulièrement présente et progresse très rapidement avec des attaques dans tous types d’entreprises. D’ailleurs, le panorama de la cybersécurité publié par l’ANSSI pour l’année 2023 révèle que 34% des cibles visées par les cyberattaques sont des TPE et des PME. De plus, il est important de préciser que le secteur privée n’est pas le seul concerné par les menaces. Le secteur public est lui aussi particulièrement prisé des cyberattaques. Le rapport de l’ANSSI indique que les collectivités locales et territoriales représentent la seconde cible des cybermenaces à 24%.
Face à des cyberattaquants de plus en plus habiles et des menaces touchant un nombre croissant d’entreprises, il est primordial de mettre en place des mesures de sécurité supplémentaires. Bien que la sensibilisation à la cybersécurité s’accroisse parmi les dirigeants et les employés, les organisations restent encore mal équipées avec des systèmes d’informations vulnérables aux attaques. En réponse à ces failles de sécurité informatique, l’extension de la directive NIS2 vise à apporter un cadre réglementaire en matière de protection. L’objectif principal de la réglementation est de renforcer la résilience des organisations face aux cyberattaques et d’améliorer leur capacité de réponse aux incidents.
Qui est concerné par la directive NIS 2 ?
A l’échelle nationale, le nombre d’entreprise potentiellement concerné par cette nouvelle version de la directive pourrait atteindre 20 000 entités françaises. Un nombre qui s’est largement étendu car la directive précédente touchait seulement 300 organisations françaises. Ce nombre s’explique par plusieurs critères élargis :
Critère 1 : le secteur d'activité de l'entreprise
Plusieurs industries sont désormais considérées à risques. Parmi celles-ci, on retrouver par exemple le secteur de la santé, de l’énergie, de l’industrie pharmaceutique ou encore spatiale.
Critère 2 : la taille/chiffre d'affaires de l'entreprise
Au-delà du secteur d’activité, la taille et le chiffres d’affaires de l’entreprise seront également des métriques prises en compte. La nouvelle version de NIS2 abaisse les seuils de taille d’entreprise pour lesquels les obligations s’appliquent. Les entreprises concernées doivent désormais avoir un effectif salarial de plus de 50 collaborateurs et générer un chiffre d’affaires supérieur à 10 millions d’euros.
Toutes les entreprises concernées n’auront pas le même statut. En fonction de la criticité de leur activité d’un point de vue cyber, deux statuts seront attribués.
- EE : entité essentielle
- EI : entité importante
Ces deux statuts peuvent également influencer les mesures exigées. De plus, il est important de noter que la liste est susceptible d’être à nouveau élargie en fonction des directives françaises. Comme énoncée précédemment, chaque état membre aura ses propres applications et exigences associées.
Comment être conforme aux exigences de la directive NIS 2 ?
La directive NIS2 a introduit de nouvelles exigences contraignantes pour les entités concernées, en les obligeant à mettre en place des mesures de sécurité renforcées. Celles-ci protègent leur système d’informations et les données asociées contre les cyberattaques.
Les exigences vont de la gestion des risques à la sécurité des réseaux en passant par la notification des incidents et la formation des employés. Certains secteurs d’activité plus critiques seront soumis à des mesures spécifiques. Pour retrouver l’ensemble de ces exigences de la directive NIS2, vous pouvez cliquer ici.
Afin de contrôler le respect de ces mesures, les autorités nationales comme l’ANSSI peuvent mener des audits directement auprès des acteurs concernés. En cas de non-respect de ces mesures, les entreprises pourraient écoper d’importantes amendes ou sanctions.
La réponse du service Arx One Backup aux exigences NIS 2 pour la sauvegarde de données
Les entités concernées par cette réglementation devront redoubler d’efforts pour trouver des outils et solutions numériques adaptés à ces exigences. Pour cela elles peuvent compter sur des prestataires et fournisseurs certifiés, notamment en termes de sauvegarde. Comme vous le savez sûrement, la sauvegarde de vos données est un maillon important dans la chaîne de la cybersécurité. La sauvegarde vous permet de lutter contre la perte de données en cas d’incidents de type cyberattaque.
Notre service de sauvegarde professionnelle Arx One Backup, vous aide à répondre aux exigences de la directive NIS2. Dans une logique RGPD le service est 100% souverain. L’offre de sauvegarde Arx One Backup est éditée et exploitée en France avec des données hébergées en géo-redondance à Nantes et à Lyon. Les données sont chiffrées de bout à bout afin d’assurer une confidentialité maximale. La solution est certifiée ISO 27001 et HDS (Hébergement Données de Santé). La norme HDS est une certification accordée aux entités qui ont intégré des niveaux de sécurité optimale semblable aux exigences de la directive NIS2.
Les mesures requises par la directive NIS2 sont alignées avec celles en place chez les fournisseurs certifiés ISO 27001 et HDS. La directive NIS 2 impose aux entreprises attaquées de mettre en place un plan de communication de crise. Les fournisseurs de solutions informatiques même certifiés HDS et ISO 27001 ne peuvent intervenir sur cette partie de sécurité. En revanche, avec des solutions telles que Arx One Backup, répondre aux diverses exigences de la réglementation NIS2 en matière de sauvegarde professionnelle devient facile et efficace.
Tester gratuitement
la solution Arx One Backup
Parcourez toutes nos dernières actualités
Pour tout savoir sur nos nouveautés, nos événements et l’actualité backup
Pour partager nos articles sur vos réseaux sociaux