ISMS Copilot
Référentiels pris en charge

Directive NIS2

La directive NIS2 (Directive (UE) 2022/2555) est la législation mise à jour de l'UE en matière de cybersécurité qui établit des exigences complètes en termes de sécurité et de notification d'incidents pour les entités essentielles et importantes dans les secteurs critiques. Entrée en vigueur le 18 octobre 2024, NIS2 élargit considérablement le champ d'application et l'exécution de sa prédécesseure (NIS1), couvrant plus de secteurs et imposant des obligations plus strictes.

ISMS Copilot possède des connaissances dédiées aux exigences de la directive NIS2. Vous pouvez poser des questions spécifiques au cadre, générer des politiques alignées sur les articles de NIS2 et évaluer les lacunes de conformité à l'aide de l'assistant IA.

Qui doit se conformer à NIS2 ?

NIS2 s'applique aux organisations opérant dans l'UE dans 18 secteurs critiques, classées comme :

Entités essentielles (criticité plus élevée) :

  • Énergie (électricité, pétrole, gaz, hydrogène)

  • Transports (aérien, ferroviaire, fluvial et maritime, routier)

  • Secteur bancaire et infrastructures des marchés financiers

  • Secteur de la santé (prestataires de soins de santé, laboratoires, fabricants de dispositifs médicaux)

  • Eau potable et eaux usées

  • Infrastructure numérique (points d'échange Internet, fournisseurs de services DNS, services cloud, centres de données)

  • Administration publique

  • Espace

Entités importantes (criticité modérée) :

  • Services postaux et de courrier

  • Gestion des déchets

  • Production et distribution de produits chimiques

  • Production et distribution de denrées alimentaires

  • Fabrication (dispositifs médicaux, électronique, machines, véhicules à moteur)

  • Fournisseurs numériques (places de marché en ligne, moteurs de recherche, réseaux sociaux)

  • Organismes de recherche

Les seuils de taille varient selon les États membres, mais s'appliquent généralement aux moyennes et grandes organisations (plus de 50 employés ou plus de 10 millions d'euros de chiffre d'affaires annuel). Les petites et micro-entités peuvent être incluses si elles fournissent des services critiques.

Exigences de sécurité fondamentales

NIS2 impose un ensemble complet de mesures de cybersécurité à travers dix domaines :

  1. Gestion des risques : Identifier et évaluer les risques de cybersécurité pesant sur les réseaux et les systèmes d'information

  2. Traitement des incidents : Détecter, répondre et se rétablir après des incidents de sécurité

  3. Continuité des activités : Gestion des sauvegardes, reprise après sinistre et gestion de crise

  4. Sécurité de la chaîne d'approvisionnement : Évaluer et gérer les risques de sécurité provenant des fournisseurs et des prestataires de services

  5. Sécurité lors de l'acquisition : Intégrer la sécurité dans l'achat de systèmes et de services

  6. Gestion des vulnérabilités : Évaluer les vulnérabilités et déployer des correctifs et des mises à jour

  7. Politiques et procédures : Documenter les politiques de sécurité pour le contrôle d'accès, la gestion des actifs et l'authentification

  8. Cryptographie et chiffrement : Protéger la confidentialité et l'intégrité des données

  9. Sécurité des ressources humaines : Politiques de contrôle d'accès, formation et programmes de sensibilisation

  10. Authentification multifactorielle et communications sécurisées : Mettre en œuvre une authentification forte et des systèmes de communication d'urgence chiffrés

Obligations de notification d'incidents

NIS2 introduit des délais stricts pour la notification des incidents :

  • Avertissement précoce (24 heures) : Informer le CSIRT national ou l'autorité compétente dans les 24 heures suivant la prise de connaissance d'un incident significatif

  • Notification d'incident (72 heures) : Soumettre une évaluation initiale comprenant la gravité, les indicateurs de compromission et l'impact initial

  • Rapport final (1 mois) : Fournir un rapport détaillé avec une analyse des causes profondes, une évaluation de l'impact et des mesures de remédiation

Le fait de ne pas signaler les incidents dans ces délais peut entraîner des sanctions importantes, notamment des amendes allant jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu.

Gouvernance et responsabilité

NIS2 met l'accent sur la responsabilité des organes de direction :

  • Responsabilité au niveau du conseil d'administration : Les organes de direction doivent approuver les mesures de cybersécurité et superviser leur mise en œuvre

  • Responsabilité personnelle : Les dirigeants peuvent être tenus personnellement responsables en cas de non-conformité

  • Exigences de formation : La direction doit participer à des formations en cybersécurité

  • Autorité de supervision : Les autorités nationales peuvent mener des inspections sur place et des audits

Sanctions et application

NIS2 introduit des sanctions harmonisées à travers l'UE :

  • Entités essentielles : Jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial (le montant le plus élevé étant retenu)

  • Entités importantes : Jusqu'à 7 millions d'euros ou 1,4 % du chiffre d'affaires annuel mondial (le montant le plus élevé étant retenu)

Des sanctions peuvent être imposées pour le défaut de mise en œuvre de mesures de sécurité, les violations de notification d'incidents ou la non-coopération avec les autorités.

Comment ISMS Copilot vous aide

ISMS Copilot fournit un soutien complet pour la conformité à la directive NIS2 :

  • Conseils spécifiques au cadre : Posez des questions sur des articles spécifiques de NIS2, les mesures de sécurité ou les obligations de notification

  • Génération de politiques : Créez des politiques prêtes pour l'audit couvrant les dix domaines de la cybersécurité

  • Analyse des lacunes : Téléchargez la documentation de sécurité existante pour identifier les écarts par rapport aux exigences de NIS2

  • Évaluations des risques : Générez des évaluations des risques alignées sur NIS2 pour les systèmes et les relations avec la chaîne d'approvisionnement

  • Planification de la réponse aux incidents : Élaborez des schémas de classification des incidents et des flux de travail de notification alignés sur les délais de NIS2

  • Feuilles de route de conformité : Demandez des conseils de mise en œuvre basés sur votre type d'organisation et votre secteur

  • Organisation de l'espace de travail : Gérez les projets NIS2 séparément des autres initiatives de conformité

L'IA a une connaissance directe de la structure et des exigences de NIS2, vous pouvez donc faire référence à des articles ou des mesures de sécurité spécifiques dans vos requêtes.

Essayez de demander : "Générer une politique de sécurité de la chaîne d'approvisionnement alignée sur l'article 21 de NIS2" ou "Quelles sont les exigences de notification d'incidents pour les entités essentielles sous NIS2 ?"

Pour commencer

Pour commencer votre travail de conformité NIS2 dans ISMS Copilot :

  1. Créez un espace de travail dédié à la conformité NIS2

  2. Demandez à l'IA si votre organisation est qualifiée d'entité essentielle ou importante

  3. Générez les politiques fondamentales pour les dix domaines de la cybersécurité

  4. Téléchargez les politiques de cybersécurité existantes pour une analyse des lacunes

  5. Développez un plan de réponse aux incidents avec des flux de notification conformes à NIS2

  6. Créez un processus d'évaluation de la sécurité de la chaîne d'approvisionnement

Mise en œuvre par les États membres

Bien que NIS2 définisse des exigences minimales, chaque État membre de l'UE peut imposer des obligations supplémentaires via les lois nationales de transposition. Consultez les directives de votre autorité nationale de cybersécurité pour connaître les exigences spécifiques à votre pays.

Ressources connexes

  • Texte officiel de la directive NIS2 : EUR-Lex

  • Orientations et ressources de l'ENISA (Agence de l'Union européenne pour la cybersécurité)

  • Contacts du CSIRT national et de l'autorité compétente

Cela vous a-t-il été utile ?