Un accompagnement sur-mesure pour la mise en place de la directive NIS 2

La directive NIS 2, publiée le 14 décembre 2022 au JOUE sous le numéro 2022/2555, également connue sous le nom de deuxième directive sur la sécurité des réseaux et des systèmes d'information, est une législation de l'Union européenne qui vise à faire de la cybersécurité de masse en renforçant la sécurité des réseaux et des systèmes d'information au sein de l'UE.

Cette directive fait suite à la directive NIS (Network and Information Security) originale, adoptée en 2016, et vise à combler les lacunes identifiées dans la première directive, ainsi qu'à prendre en compte les évolutions technologiques et les nouvelles menaces cyber.

Cette deuxième version de la directive NIS, qui sera transposée en droit national en octobre 2024, propose des mesures pour renforcer la coopération entre les États membres de l'UE en matière de cybersécurité, notamment en ce qui concerne la gestion des attaques et des crises liées à la cybersécurité.

Elle introduit également des exigences plus strictes en matière de sécurité pour certains secteurs essentiels, tels que les infrastructures critiques, les services numériques essentiels et les fournisseurs de services en ligne.

Afin de renforcer le niveau de cybersécurité et de résilience face à ce risque devenu prioritaire et considéré comme hautement important par tous les acteurs de la prévention des risques, la directive NIS 2 présente 18 secteurs d’activités, répartis en :​

• Secteurs hautement critiques (annexe 1) :

  • Énergie​

  • Transports​

  • Secteur bancaire​

  • Infrastructure des marchés financiers​

  • Santé​

  • Eau potable​

  • Eaux usées​

  • Infrastructure numérique​

  • Gestion des services TIC​

  • Administration publique​

  • Espace

• Autres secteurs critiques (annexe 2) :

  • Services postaux et d’expédition​

  • Gestion des déchets​

  • Fabrication, production et distribution de produits chimiques​

  • Production, transformation et distribution des denrées alimentaires​

  • Fabrication​

  • Fournisseurs numériques​

  • Recherche​

Selon la taille et la catégorie de l’entité concernée, il existe ensuite deux niveaux d’applications de la directive : ​

• Les entités importantes, qui auront droit à une version allégée ; ​

• Les entités essentielles.​

Les équipes Conseil & Formation Cybersécurité de CNPP ont conçu ce logigramme simple et efficace qui vous aidera pour savoir si vous êtes concernés par cette la directive NIS 2 :

La Directive NIS 2 implique des incidences majeures pour les entreprises et les organisations de l'Union européenne car elle les oblige à renforcer leur niveau de cybersécurité dans le but de se conformer aux nouvelles normes. Cela signifie que même les petites et moyennes entreprises doivent investir dans des mesures de sécurité appropriées et le cas échéant faire appel à des experts pour un accompagnement sur-mesure.

La mise en œuvre de la Directive NIS 2 représente un défi en termes de ressources et de compétences pour de nombreuses entreprises. Elles doivent non seulement investir dans des technologies de sécurité avancées, mais aussi former leur personnel et suivre les évolutions réglementaires.

Bien que la conformité à la Directive NIS 2 puisse être un défi, elle est essentielle pour protéger les réseaux et les systèmes d'information contre les cybermenaces croissantes. Les entreprises qui investissent dans la sécurité de leurs systèmes bénéficieront non seulement d'une meilleure protection contre les cyberattaques, mais aussi d'une plus grande confiance de la part de leurs parties prenantes et d'avantages concurrentiels sur le marché.

Afin de vous accompagner le plus efficacement possible vers la mise en place de cette nouvelle version de la directive NIS 2, nous sommes en mesure de vous proposer une offre d'accompagnement transversale et complémentaire.

Nous vous accompagnons sur l’analyse de votre niveau de maturité en comparaison avec le niveau demandé par la directive européenne.
Cette analyse peut être réalisée sur des référentiels NIS 2 de différents états membres de l’Union européenne fusionnés avec d’autres référentiels, comme le RGS ou encore l’ISO/CEI 27001.

L'objectif de l'analyse d'écarts dans le cadre de notre accompagnement à cette nouvelle version de la directive NIS est de réaliser un état des lieux de votre système d’information et vous fournir un plan d’action pour atteindre la conformité à NIS 2. Le tout en reprenant l’effort financier, humain et technologique initié au sein de votre organisation.

En partant du plan d’action, du secteur d’activité et du niveau de maturité constaté au sein de votre établissement, nous vous accompagnons sur :

• la création des processus, procédures et politiques
• la mise en œuvre des mesures de sécurité attendues
• la réalisation de tests de sécurité, de services managés

Au forfait ou au réel, nous assurons la gestion de projet, la transmission des compétences auprès des collaborateurs et nous pouvons capitaliser sur des mises en conformité croisées (ISO/CEI 27001, RGS, etc.).

Pour vous offrir un accompagnement efficient et vous permettre d'avoir les ressources et compétences nécessaires au maintien de votre conformité face à cette nouvelle directive nous vous proposons deux formations :

• Une formation certifiante "NIS 2 Lead Implementer"
  Durée : 5 jours, avec examen de certification
  Pour qui ? Les professionnels en charge de réaliser des mises en conformité
• Une formation qualifiante "Les fondamentaux de NIS 2"
  Durée : 1 jour, avec quizz de validation des acquis
  Pour qui ? Toute personne désireuse de connaitre NIS 2 et son cadre

Cette nouvelle version de la directive NIS 2 illustre parfaitement la notion d'évolution permanente dans le domaine de la cybersécurité. A titre d'exemples, le renforcement de la réglementation RGPD ou encore l'application prochaine du Digital Markets Act (DMA) sont des exemples très concrets qui confirment le fait que réaliser une veille cybersécurité est une prérogative essentielle pour chaque organisation qui souhaite rester en conformité réglementaire.