NIS2

législation européenne et nationale sur la cybersécurité des organisations

La nouvelle Directive Européenne sur la Cybersécurité des réseaux et des systèmes d’information  2 (NIS2) devrait être transposée en droit français et entrer en application sous peu. Actuellement, la loi française applicable pour la NIS1 est la loi n° 2018-133 du 26 février 2018 relative à la sécurité des réseaux et des systèmes d’information. La nouvelle directive impose des exigences importantes au niveau de la cybersécurité des entités de divers secteurs sociétaux qui sont caractérisées comme “essentielles” ou “importantes”.

Ces mesures de cybersécurité par les risques, obligatoires visent à renforcer le niveau de sécurité, et de nombreux éléments devraient déjà faire partie de la politique de cybersécurité des organisations. Toutefois, leur non-respect pourra entraîner des amendes importantes.

BDO Global a mis au point un outil d’évaluation NIS2 simplifié qui peut vous fournir un premier état des lieux. Vous pouvez dès à présent accéder à cet outil d’évaluation via le bouton ci-dessous.

NIS2 Analyzer

COMMENT ÇA MARCHE

NIS2 en résumé :

Étant donné que le NIS2 définit des conditions d’éligibilité, nous vous en proposons un bref aperçu. Dans cette section, nous attirons votre attention sur les principaux points clé de la Directive. Découvrez les exigences et quelques recommandations de mise en conformité.

Où en êtes-vous avec NIS2?

Pour s’assurer que votre organisation est prête à répondre aux exigences règlementaires matière de cybersécurité dans les temps, il est crucial d’initier le chantier de mise en conformité. Bien que les exigences n’aient pas encore été transposées, les orientations sont claires et convergent avec les normes et bonnes pratiques telles que l’ISO 27001.

Lancez NIS2 Analyzer dès maintenant et obtenez une première impression de votre situation actuelle.

NIS2 Analyzer

Quoi?

Le NIS2 impose des exigences de sécurité qui sont regroupées dans le cadre de la diligence de l’obligation de déclaration et de la supervision, et qui sont déjà relativement concrètes avant d’être officialisées dans la législation française.ll s’agit notamment des listes concrètes de mesures visées à l’article 21 et des amendes importantes infligées à l’article 34, paragraphe 4. En savoir plus dans la directive EUR-Lex – 32022L2555 (europa.eu). En outre, il existe un certain nombre d’autres éléments notables tels que la sécurité dans la chaîne d’approvisionnement, la responsabilité des organes de gestion et les obligations en matière de formation.

A qui cela s’adresse-t-il ?

Les organisations concernées par la nouvelle directive européenne sur la sécurité des réseaux et des systèmes d’information 2 (NIS2) concernent notamment les compagnies d’énergie, les compagnies aériennes, les entreprises d’approvisionnement en eau, les fournisseurs de services numériques, les organismes publics et leurs fournisseurs. Pour vérifier si votre organisation est soumise à cette directive, il est recommandé de consulter les informations fournies par l`ANSII. Le questionnaire peut être trouvé sur le site de l`ANSII MonEspaceNIS2. Si vous avez des questions, n’hésitez pas à nous contacter pour obtenir des conseils et un soutien de spécialistes.

Quelles entités sont concernées ?

La directive NIS2 vise un plus grand nombres d’entreprises et d’organismes que la première directive NIS1. Cela signifie notamment qu’il y a maintenant plus d’organisations publiques et privées qui devront respecter les règles. Les organisations actuellement couvertes par la directive NIS2 sont notamment les suivantes:

Annexe 1 secteurs Annexe 2 secteurs
  •  Energie
  • Transport
  • Secteur bancaire
  • Infrastructure des marchés financiers
  • Santé
  • Eau potable
  • Eau usées
  • Infrastructure numérique
  • Gestionnaire des services TIC
  • Administration publique
  • Espace
  • Service postaux et d’expédition
  • Gestion des déchets
  • Fabrication, production et distribution de produit chimiques
  • Production, transformation et distribution des denrées alimentaire
  • Fabrication
  • Fournisseur numérique
  • Recherche

Entités essentielles 

Elles concernent les grandes organisations qui sont actives dans un des secteurs de l’annexe I de la directive NIS2 (voir tableau).

Une organisation est considérée comme grande sur la base des critères suivants:

  • au moins 250 salariés;
  • un chiffre d’affaires annuel de plus de €50 millions d’euros et un total de plus de €43 millions au bilan.

Entités importantes 

Elles concernent les petites et moyennes entreprises (PME) qui sont actives dans un secteur de l’Annexe I et de moyennes à larges organisations qui sont actives dans un secteur de l’Annexe II.

Une organisation est considérée comme “moyenne entreprise” sur la base des critères suivants:

  • au moins 50 salariés; ou
  • un chiffre d’affaires annuel ou un total du bilan annuel n’exqui excède 10 millions d’euros.

    Nos offres de services

    Nous pouvons aider votre organisation dans le programme de mise en conformité directive NIS2, et des tests de résilience.

    Assess & Advise

    Nous pouvons assister dans l’évaluation des forces et faiblesses, de la posture Cyber & Privacy à l’état de l’art et aux référentiels cibles, évaluation des risques de non-conformité et établissement du plan de transformation par les risques. Par ailleurs, nous pouvons assister dans les campagnes de sous-traitants.

    Build

    Nous pouvons apporter notre expertise et pilotage des chantiers de mise en oeuvre de la stratégie de réduction de risques et de conformité Cyber / Data comme le plan de mise à niveau pour NIS2 en vue de rendre l’entreprise “cyberrésiliente”. Cela peut en autre porter sur les évaluations de risques, le privacy by design dans les chantiers mais également en appui aux chantiers sur la gestion de la continuité avec la mise en place d’exercice de gestion de crise, la gestion des risques, la mise en place de processus ou outillage liée à la détection et la gestion des incidents ou l’aide au déploiement de solutions de sécurité. Enfin, nous pouvons fournir des support à la veille règlementaire Cyber/Data.

    Run

    Notre réseau BDO permet d’apporter des services adaptés aux moiyennes entreprises, permettent d’externaliser les problématiques de collecte, centralisation et stockage des logs, des alertes, de détection d’incidents et de réponse en temps réel sur l’infrastructure supervisée. Les services managés BDO MDR 24×7 fournissent entre autres “as a service” des solutions de déploiement et surveillance EDR, SIEM, SOAR, ASM, plate-forme Anti-Phishing and OT.

    Train

    Enfin, nous pouvons accompagner dans le plan de gestion du changement Cyber, soutenir l’élaboration d’une vision et des ambitions stratégiques et de la déclinaison de la relation managériale dans les plans de ttransformation et fournir un appui dans la sensibilisation et formation, clés dans les attentes des nouvelles règlempentations cyber.

    Contactez-nous!

    © 2024 BDO Canada LLP

    Privacy & Cookie Policy