La conformité NIS 2
Qui est concerné par cette directive européenne ?
Sont concernés tous les organismes essentiels (énergie, santé...) et tous les organismes importants (fournisseurs numériques, data centers, fabricants de produits essentiels...) dont le chiffre d'affaires annuel est supérieur à 10 millions d'euros.
La définition du terme «sécurité des réseaux et des systèmes d’information» figurant à l’article 6, point 2), de la directive (UE) 2022/2555 renvoie à la capacité des systèmes d’information de résister, à un niveau de confiance donné, à tout événement susceptible de compromettre la disponibilité, l’authenticité, l’intégrité ou la confidentialité de données stockées, transmises ou faisant l’objet d’un traitement ou de services.
Les mesures de gestion des risques en matière de cybersécurité portent spécifiquement sur la sécurité physique et la sécurité de l’environnement des réseaux et des systèmes d’information afin de les protéger contre les défaillances des systèmes, les erreurs humaines, les actes de malveillance ou les phénomènes naturels.
La gestion des risques cyber
Les entités devront mettre en place des mesures juridiques, techniques et organisationnelles pour gérer les risques qui menacent la sécurité de leurs réseaux et de leurs systèmes d'information.
Voici quelques mesures (issues en particulier des articles 20 et 21 de la directive NIS 2):
les politiques relatives à l'analyse des risques et à la sécurité des systèmes d'information ;
la gestion des incidents ;
la continuité des activités, par exemple la gestion des sauvegardes et la reprise des activités, et la gestion des crises ;
la sécurité de la chaîne d'approvisionnement, y compris les aspects liés à la sécurité concernant les relations entre chaque entité et ses fournisseurs ou prestataires de services directs ;
la sécurité de l'acquisition, du développement et de la maintenance des réseaux et des systèmes d'information, y compris le traitement et la divulgation des vulnérabilités ;
des politiques et des procédures pour évaluer l'efficacité des mesures de gestion des risques en matière de cybersécurité ;
les pratiques de base en matière de cyberhygiène et la formation à la cybersécurité ;
des politiques et des procédures relatives à l'utilisation de la cryptographie et, le cas échéant, du chiffrement ;
la sécurité des ressources humaines, des politiques de contrôle d'accès et la gestion des actifs ;
l'utilisation de solutions d'authentification à plusieurs facteurs ou d'authentification continue, de communications vocales, vidéos et textuelles sécurisées et de systèmes sécurisés de communication d'urgence au sein de l'entité, selon les besoins ;
- ...