Directive NIS2 en vue : points sensibles de la mise en oeuvre
par Gorik Van den Bergh
La nouvelle directive européenne NIS2 succède à la directive NIS (Network and Information Security Directive) et entre en vigueur le 17 octobre 2024. Dans des publications précédentes, nous vous avons expliqué exactement ce qu'implique la NIS2 et l'impact potentiel sur votre organisation. Dans cet article, nous énumérons à nouveau les points auxquels vous devez prêter attention lors de la mise en œuvre de la NIS2.
Chaque jour, nous sommes confrontés dans les médias à l'importance de la cybersécurité et donc aussi à l'importance de la NIS2. Le Centre for Cybersecurity Belgium (CCB) a notamment fait état de ce qui suit dans son rapport CCB :
Les organisations belges ont été principalement victimes de ransomwares et d'attaques DDoS en 2023. Elles ont également été touchées par d'autres catégories de cyberincidents, comme les fuites de données, la fraude au CEO, les indications de menaces sur le dark web et les forums dédiés sur lesquels des données volées sont publiées, et la compromission d'adresses IP belges utilisées dans le cadre d'opérations cybernétiques.
Le phishing reste l'une des principales méthodes d'attaque par lesquelles les acteurs installent des malwares sur un système ciblé, mais aussi l'une des formes d'attaque les plus courantes pour voler des données, telles que des données personnelles et d'identification, et pour commettre une cyberfraude.
Les points essentiels à connaître sur l'implémentation de la NIS2
1. Sensibilisation
Il est impératif que la direction de votre entreprise connaisse et comprenne les exigences de la directive NIS2 et les efforts de gestion des risques. Les administrateurs sont directement responsables de la gestion des cyberrisques et du respect des exigences. Par extension, il est évidemment important que tous les salariés soient suffisamment conscients des cybermenaces potentielles.
2. Gestion des risques
Le terme de gestion des risques est mentionné 144 fois ( !) dans la publication NIS2. Il s'agit donc d'une partie de la directive NIS2 à ne pas sous-estimer. Après tout, les organisations doivent mettre en œuvre des mesures pour minimiser ce qu'elles ont identifié en termes de risques et de conséquences.
3. Communication avec les autorités
Les organisations doivent mettre en place des processus et des procédures pour s'assurer qu'elles signalent les incidents aux autorités de manière correcte et en temps voulu.
4. Continuité des activités
Les organisations doivent prendre des mesures pour assurer suffisamment la continuité de leurs activités, y compris des sauvegardes, des tests de récupération, des plans d'urgence et une gestion de crise.
5. Fournisseurs
En outre, les organisations doivent également identifier les risques de sécurité chez leurs fournisseurs. Les fournisseurs font souvent partie de la chaîne de confiance d'une organisation. Un fournisseur non sécurisé, véritable maillon faible de la chaîne, peut représenter un risque pour l'ensemble de l'organisation et de ses parties prenantes.
6. Sanctions
Les organisations qui ne se conforment pas aux exigences de la directive NIS2 peuvent faire l'objet de diverses sanctions éventuelles, y compris des amendes ou des sanctions administratives pouvant atteindre un maximum de 10 millions d'euros pour les entités dites essentielles (2 % du chiffre d'affaires mondial) et de 7 millions d'euros pour les entités importantes (1,4 % du chiffre d'affaires mondial).
Comment vous aide Vandelanotte?
Découvrez le logiciel de gestion des risques (informatiques) pour organiser plus efficacement la gestion des risques de votre organisation;
Demandez des tests de pénétration pour évaluer et améliorer la résilience de votre organisation ;
Découvrez nos solutions de sensibilisation à la cybersécurité (Phishing, formation en ligne,...).
Nos experts vous conseillent et vous aident, si besoin, à mettre en œuvre les mesures de sécurité nécessaires pour être conforme à la directive NIS.
Vous souhaitez en savoir plus sur la conformité de votre organisation en matière de cybersécurité ? N'hésitez pas à contacter Gorik.vandenbergh@vdl.be.
Ce formulaire ne peut être envoyé qu’avec l’utilisation de cookies techniques. Vous pouvez accepter ces cookies ici.
Ces cookies sont utilisés pour distinguer les gens des robots. Certaines données, tells que votre adresse IP ou votre préférence linguistique, peuvent être envoyées à Google. Pour plus d’informations sur notre politique en matière de cookies, cliquez ici.
Gorik Van den Bergh
Team Manager IT Audit Gorik.VandenBergh@vdl.be
Clause de non-responsabilité
Nos avis s'appuient sur la législation, les interprétations et la doctrine en vigueur. Cela n'empêche que l'administration peut les remettre en cause ou que les interprétations existantes peuvent changer.
Informations et perspectives
Lisez nos derniers articles et communiqués de presse pour vous tenir informé(e) des changements dans votre secteur.
