Article – NIS2, à quels types d’exigences votre organisation devra répondre et comment s’y préparer
Avec la mise en œuvre de la directive NIS 2 en octobre 2024, beaucoup d’entreprises de taille intermédiaire et moyenne seront nouvellement concernées par l’obligation de mettre en place des mesures de cybersécurité. Nos experts estiment que cela concernera également des petites organisations.
Nos experts vous donnent les premières clés pour vous préparer à ces changements.
Pour élever le niveau commun en matière de cybersécurité, le rôle de l’ANSSI a été renforcé.
En fonction de sa propre stratégie et de celle définie avec les États Membres de l’UE, l’ANSSI a la charge de transposer au niveau national la Directive NIS 2.
Elle pourra effectuer des contrôles, réaliser des scans automatiques, faire des inspections sur site, etc.
Si l’objectif n’est pas de sanctionner, l’ANSSI pourra néanmoins imposer des amendes : jusque 2,4% du CA mondial pour les Entreprises Essentielles (EE) et 1,4% pour les Entreprises Importantes (EI), ainsi que la suspension des responsabilités du dirigeant1.
Dans le cadre de NIS 2, l’ANSSI a déjà livré une série d’exigences et nous pouvons citer par exemple :
- Une obligation de signaler les incidents par une alerte et notifier dans des délais établis
- La prévention des incidents (détections, authentification, parcours de sécurité, etc.)
- La mise en place de plan de continuité de service
- L’identification et l’évaluation régulière des risques cyber
- Le respect des règles et Lois, coopérer avec les autorités compétentes en cas d’incident de sécurité
- Etc
Aussi, l’ANSSI a indiqué que les qualifications PASSI, PDIS, PACS et PAMS permettront de bénéficier d’une présomption de conformité pour les entités concernées en fonction des exigences.
En cas d’entité à la fois soumise à NIS 2 et DORA, DORA prend le dessus (caractère lex specialis) 2.
Comment vous préparez dès maintenant ?
La réponse à ces nouvelles exigences peut devenir complexe pour certaines collectivités et petites et moyennes entreprises qui rencontrent un retard dans l’utilisation d’outils de cybersécurité ainsi que dans le recrutement de compétences internes dédiées à leurs utilisations.
Afin de réduire les coûts financiers, nos experts estiment qu’un certain nombre de bonnes pratiques doivent d’ores et déjà être mises en place. L’ANSSI produit des guides pour accompagner notamment les PME, ETI et collectivités.
L’ANSSI s’inscrit d’ores et déjà dans une démarche de dialogue et de co-construction avec les futures entités régulées afin de s’assurer de la pertinence et de la soutenabilité des exigences. Néanmoins, il sera probablement nécessaire, notamment pour les entreprises qui découvriront les pratiques à mettre en œuvre, de se faire accompagner d’un prestataire IT.
Vous pouvez aussi consulter les recommandations de nos experts en cyberdéfense.
Tout savoir sur les changement apportés par la directive NIS2
Lire l’articleGuide pratique sur les règlementations liées à la cybersécurité
Accéder au guideQuels types d’accompagnement pouvez-vous attendre de votre prestataire IT ?
Les entreprises devront passer par une phase d’évaluation de la conformité de leurs environnements IT à ces règles afin d’identifier leurs besoins dans le cadre de la mise en œuvre des prescriptions de l’ANSSI.
Le cas échéant, un accompagnement sera nécessaire afin d’évaluer les risques réguliers, de mettre en œuvre des mesures de sécurité, de migrer les données dans des environnements adaptés, de mettre en place des plans de continuité d’activité, d’assurer la connexion entre vos environnements, etc.
Dans l’écosystème des services numériques, Orange Business occupe une position unique puisque notre expertise porte sur toute la chaîne IT et data des organisations. Nous disposons de 6000 experts cloud et cybersécurité en France et notre expertise en connectivité n’est plus à démontrer.
Notre Groupe, par essence, est soumis depuis plusieurs années à ces règles et bonnes pratiques ce qui nous permet de capitaliser un savoir-faire que nous mettons au service de nos clients.
De plus, toutes les offres de notre catalogue (infrastructures cloud, service managés, services) respectent les niveaux de sécurité les plus élevés et répondent aux recommandations de l’ANSSI.
- Nous fournissons des infrastructures cloud ou d’hébergement de confiance, sécurisées, qui sont aussi capables de répondre aux enjeux d’innovation et des métiers.
- Sans la connectivité il n’y a pas de plateformes cloud ni de connexion des utilisateurs à leurs environnements IT. La connectivité est le cœur de métier d’Orange ce qui assure un service et une disponibilité inégalés des SI de nos clients.
- Pour comprendre et répondre aux exigences NIS 2, Orange Business propose à ses clients des équipes de Professional Services rompues à l’accompagnement dans le cloud et sa sécurité en tenant compte des différents enjeux technologiques, business, métiers, réglementaires des entreprises.
- Orange Business et Orange Cyberdéfense disposent d’équipes qui assurent la supervision des environnements IT hybrides les plus complexes en 24/7 et traitent les incidents.
Pour en savoir plus vous pouvez regarder le replay du webinaire NIS 2 d’Orange Cyberdéfense
A noter :
- Responsabilité : les amendes pourront atteindre :
- jusqu’à 10 millions d’euros et 2,4% du chiffre d’affaires annuel mondial consolidé pour les Entités Essentielles (EE).
- jusqu’à 7 millions d‘euros ou 1,4% du chiffre d’affaires annuel mondial pour les Entités Importantes (EI).
- Dans le cas d’une amende visant une filiale, le pourcentage est calculé sur la base du chiffre d’affaires annuel total du groupe.
- Moyens Acceptables de Conformité (MAC)
Les qualifications PASSI, PDIS, PACS et PAMS sont directement citées. Elles permettront de bénéficier d’une présomption de conformité pour les entités concernées en fonction des exigences (objectifs de sécurité 14 & 15). Il semble peu probable que les EI aient besoins du PAMS mais le PACS est souvent mis en avant. L’ISO27001 fait aussi partie des MAC, avoir cette certification facilitera les contrôles.
Pour savoir si vous pourriez être concerné
Site de l’ANSSI