Skip to content
FR

NIS2 : La directive de l'UE et ses implications pour la cybersécurité en Suisse

NIS2, le successeur de NIS1, durcit les exigences en matière de cybersécurité au sein de l’Union européenne et doit accroître sa capacité de résistance face aux cybermenaces. NIS2 vise à créer un niveau d’harmonisation plus élevé en définissant des normes et des exigences générales pour la cybersécurité et la réaction aux incidents. NIS2 ne s’applique pas uniquement aux entreprises ayant leur siège dans l’UE, mais aussi aux fournisseurs externes, p. ex. de Suisse. terreActive développe donc activement des cadres et des méthodes pour aider ses clients qui doivent satisfaire aux exigences de cette ordonnance actualisée.

Vue d'ensemble

La directive sur les réseauxet les systèmes d'information2 (NIS2) est un cadre juridique actualisé destiné à améliorer la cybersécurité dans l'Union européenne. S'appuyant sur son prédécesseur (la directive NIS), la NIS2 élargit le champ d'application des règles, introduit des mesures de sécurité plus strictes et améliore les protocoles de signalement des incidents. Les entreprises sont confrontées à des défis communs pour se conformer à la réglementation, notamment le manque de ressources, la complexité de l'adaptation aux exigences détaillées et l'application variable selon les États membres.

Dans la région DACH, les réglementations ou lois nationales n'ont pas encore été finalisées. Il reste à voir à quoi ressembleront les exigences détaillées pour chaque secteur et à quelle date ces exigences devront être satisfaites. La Suisse n'entre pas directement dans le champ d'application du NIS 2 et, par conséquent, aucun règlement correspondant n'est en cours d'élaboration.

Contexte du NIS

La NIS 2 a été adoptée par le Parlement européen en décembre 2020 en tant que successeur de la directive NIS originale de 2016 pourrépondre à l'évolution du paysage des menaces de cybersécurité. La directive a été motivée par le nombre croissant de cyberattaques sophistiquées dans des secteurs critiques tels que l'énergie, les transports, les banques et les soins de santé.

La directive NIS2 s'applique aux entités qui fournissent des services essentiels ou importants à l'économie et à la société européennes, y compris les fournisseurs. Le champ d'application spécifique varie selon les secteurs, mais la règle générale est la suivante :
Catégorie Nombre d'employés Chiffre d'affaires annuel Bilan
Installations importantes
z. par exemple, énergie, transport, finance, administration publique, santé, infrastructure numérique		 250 250 millions d'euros 43 millions d'euros
Installations importantes
z. p. ex. services postaux, gestion des déchets, produits chimiques, recherche, alimentation, fournisseurs numériques		 50 10 millions d'euros 10 millions d'euros

Les principales exigences du NIS2

Le NIS2 introduit plusieurs exigences importantes auxquelles les organisations doivent répondre :

Key_Requirements

  1. Un champ d'application élargi :
    Le NIS2 élargit le champ des secteurs et des types d'organisations qui relèvent de sa compétence, en incluant davantage d'entités du secteur public ainsi que des fournisseurs d'infrastructures critiques.
  2. Gestion des risques et signalement des incidents :
    Les organisations doivent mettre en œuvre des mesures de gestion des risques qui comprennent une analyse des risques et des politiques de sécurité pour les systèmes d'information. Les incidents ayant un impact significatif doivent être signalés dans les 24 heures.
  3. Sécurité de la chaîne d'approvisionnement :
    L'accent sera davantage mis sur la sécurisation des chaînes d'approvisionnement et les organisations devront s'assurer que leurs fournisseurs tiers respectent les normes de cybersécurité appropriées.
  4. Gouvernance et responsabilité :
    Les cadres supérieurs doivent participer à l'approbation des mesures de cybersécurité et peuvent être tenus pour responsables en cas de non-respect. Des audits et des contrôles réguliers sont nécessaires pour garantir une conformité permanente.
  5. Coopération et partage d'informations :
    Il est nécessaire de renforcer la coopération entre les États membres et d'améliorer les mécanismes d'échange transfrontalier d'informations sur les menaces et les incidents.

Difficultés fréquentes pour répondre aux exigences du NIS2

Malgré des objectifs clairs, les organisations rencontrent diverses difficultés pour s'adapter au NIS2 :

Common Difficulties

  1. Ressources limitées :
    Les petites organisations et les entités du secteur public sont souvent confrontées à des budgets et des ressources humaines limités, ce qui rend difficile la mise en œuvre de mesures de cybersécurité complètes.
  2. Un paysage de conformité complexe :
    S'y retrouver dans les exigences complexes et détaillées du NIS2 peut s'avérer décourageant. Les entreprises doivent s'assurer qu'elles interprètent et appliquent correctement les réglementations, ce qui peut nécessiter des conseils juridiques et techniques d'experts.
  3. Gestion de la chaîne d'approvisionnement :
    Veiller à ce que tous les fournisseurs et partenaires tiers de la chaîne d'approvisionnement respectent les mêmes normes de sécurité peut s'avérer difficile, en particulier lorsqu'il s'agit d'un grand nombre de fournisseurs.
  4. Signalement et réponse aux incidents :
    L'obligation de signaler les incidents dans les 24 heures peut être difficile à respecter, en particulier pour les entreprises qui ne disposent pas de capacités de détection et de réponse avancées.
  5. Problèmes d'harmonisation :
    Les différents États membres peuvent mettre en œuvre et appliquer les dispositions du NIS2 avec quelques variations, créant un environnement de conformité incohérent qui peut être difficile à gérer pour les organisations multinationales.

Plan de haut niveau pour la mise en œuvre du NIS2

La mise en œuvre du NIS2 nécessite une approche globale qui tienne compte des aspects techniques , organisationnels et procéduraux de la cybersécurité. La Poste Suisse recommande à ses clients d'utiliser un plan structuré pour répondre aux exigences du NIS2.

Le plan suivant est une vue d'ensemble de haut niveau et doit être adapté aux besoins et au contexte spécifiques de l'organisation qui le met en œuvre. Il est recommandé de faire appel régulièrement à des experts juridiques et en cybersécurité pour s'assurer d'une compréhension complète et efficace de la législation nationale en rapport avec le NIS2.

High-Level Plan

A) Évaluation préliminaire et planification

  1. Applicabilité et champ d'application
    Clarifiez si votre entreprise ou organisation entre dans le champ d'application de la NIS. Alors que cet article a été rédigé à l'été 2024, la plupart des pays de l'UE n'ont pas encore finalisé leurs réglementations nationales NIS2, de sorte qu'il peut subsister une certaine ambiguïté quant à l'applicabilité et aux exigences finales. Par conséquent, le plan général suivant doit être adapté aux exigences de la ou des juridictions dans lesquelles l'organisation opère, ainsi qu'aux besoins de l'organisation elle-même.
  2. Effectuer une analyse des lacunes
    Évaluer les mesures de cybersécurité actuelles par rapport aux exigences du NIS2 afin d' identifier les lacunes . Hiérarchiser les domaines nécessitant une attention immédiate sur la base d'une évaluation des risques .
  3. Élaborer une feuille de route pour la mise en conformité
    Créer un plan d'action détaillé avec des échéances, des responsabilités et des ressources nécessaires pour la mise en conformité. Obtenir l'approbation du budget et de la direction pour la feuille de route.
  4. Mettre en place une équipe de conformité NIS2
    Constituer une équipe interfonctionnelle composée de représentants des services informatiques, juridiques, de la gestion des risques et de la direction générale.

B) Gestion des risques et élaboration des politiques

  1. Mise en œuvre de mesures de gestion des risques
    Procéder à des évaluations régulières des risques afin d'identifier les menaces et les vulnérabilités potentielles. Élaborer et mettre en œuvre des mesures de gestion des risques comprenant des contrôles préventifs, détectifs et correctifs.

  2. Mise à jour des politiques de sécurité de l'information
    Réviser les politiques de sécurité existantes pour les aligner sur les exigences de la NIS2 et garantir une couverture complète de tous les domaines critiques. Veiller à ce que les politiques traitent de la sécurité de la chaîne d'approvisionnement, de la réponse aux incidents et de la gouvernance.

C) Améliorations techniques et opérationnelles

  1. Renforcer la détection et la réponse aux incidents
    Utiliser des outils et des technologies avancés de détection des menaces. Créer un plan de réponse aux incidents solide avec des rôles, des responsabilités et des processus définis.
  2. Amélioration de la sécurité de la chaîne d'approvisionnement
    Évaluer la position des fournisseurs tiers en matière de cybersécurité. Exiger des fournisseurs qu'ils se conforment aux normes de cybersécurité et inclure des clauses appropriées dans les contrats.
  3. Mise en place d'une surveillance et d'un audit continus
    Mettre en place une validation continue de la sécurité afin de détecter les menaces et d'y répondre en temps réel. Effectuer des audits et des examens réguliers pour garantir la conformité continue avec le NIS2.

D) Formation et sensibilisation

  1. Organiser une formation sur l'hameçonnage et sensibiliser les employés
    Élaborer et organiser régulièrement des formations de sensibilisation pour tous les employés. L'accent est mis sur l'importance de la cybersécurité, la reconnaissance des menaces et le respect des lignes directrices en matière de sécurité.
  2. Implication des cadres supérieurs
    Formation spécifique pour les cadres sur leurs rôles et responsabilités dans le cadre du NIS2. Veiller à ce que la direction comprenne l'importance stratégique de la cybersécurité et soutienne les efforts de mise en conformité.

E) Rapports et documentation

  1. Mettre en place des mécanismes de signalement des incidents.
    Élaborer des processus pour le signalement des incidents internes et externes conformément aux délais prévus par la NIS2.
    Veiller à ce que les incidents soient signalés dans le délai de 24 heures requis par la NIS2.

  2. Maintenir une documentation complète
    Documenter de manière exhaustive toutes les politiques, procédures, évaluations des risques et rapports d'incidents. Veiller à ce que la documentation soit facilement accessible pour les audits et les examens réglementaires.

F) Collaboration et coordination

  1. Promouvoir la collaboration interne
    Encourager la collaboration entre les services informatiques, juridiques, de conformité et autres afin d'assurer une mise en œuvre cohérente. Organiser des réunions régulières pour examiner les progrès accomplis et relever les défis.
  2. Collaborer avec les parties prenantes externes
    Participer aux forums et groupes de travail du secteur pour se tenir informé des meilleures pratiques et des mises à jour réglementaires. Établir des canaux de communication avec les autorités nationales et européennes afin de recevoir des conseils et de l'aide.

Examen et amélioration continue

  1. Procéder à des examens réguliers
    Programmer des examens réguliers pour évaluer l'efficacité des mesures mises en œuvre. Mettre à jour la feuille de route en matière de conformité en fonction des résultats des examens et de l'évolution des menaces.
  2. Établir des boucles de retour d'information
    Recueillir les commentaires des parties prenantes sur les mesures mises en œuvre. Utiliser le retour d'information pour améliorer en permanence les politiques, les procédures et les contrôles techniques.

 

Vous n'êtes pas seul - Comment la Poste Suisse peut-elle vous aider ?

Avec plus de 28 ans d'expérience dans le domaine de la cybersécurité et des services de conseil et d' exploitation dédiés, Swiss Post Cybersecurity peut aider les organisations à répondre aux exigences du prochain NIS2 en réalisant une analyse des lacunes, en aidant la direction et les chefs de projet à définir des objectifs et des stratégies, et en rassemblant et adaptant la documentation, les politiques et les réglementations existantes. Notre large sélection de modèles et de schémas directeurs facilite la mise en œuvre des processus et des mesures techniques de sécurité.

Grâce à des audits , des examens et, si nécessaire, des pentests, Swiss Post Cybersecurity est en mesure d'assurer un processus d'amélioration continue. Cette approche globale permet non seulement aux organisations de s'adapter à NIS2 à partir de l'automne 2024, mais aussi de suivre le rythme des mises à jour réglementaires.

Cette approche garantira que votre organisation améliore sa résilience globale en matière de cybersécurité et que vous êtes bien préparé à répondre aux exigences de NIS2.

Notre conclusion sur le NIS2

Le NIS2 est une avancée significative dans l'amélioration de la cybersécurité dans les secteurs critiques au sein de l'UE. Bien qu'il s'accompagne d'exigences strictes en matière de protection contre les cybermenaces, les entreprises sont confrontées à plusieurs défis pour se conformer aux réglementations. Pour relever ces défis, il faut un investissement stratégique dans les ressources de cybersécurité, des pratiques complètes de gestion des risques et une collaboration accrue au sein de l'UE afin de garantir un cadre de cybersécurité harmonisé et efficace.

La mise en conformité avec le NIS2 est un processus continu qui nécessite des efforts stratégiques et coordonnés dans l'ensemble de l'organisation. Avec un plan structuré, les organisations peuvent systématiquement répondre aux exigences du NIS2, améliorer leur position en matière de cybersécurité et assurer leur résilience face à l'évolution des cybermenaces.

You may be interested in

Incident bell icon

Réaction immédiate

Vous avez besoin d'une réaction immédiate face à une cyberattaque ? Appelez-nous.
+4121 519 05 01

Notre équipe de support est disponible du lundi au vendredi, de 8h00 à 18h00. Les clients disposant d'un SLA actif bénéficient d'un accès 24/7. 

Remarque : nous ne soutenons que les entreprises et les organisations. Les particuliers sont priés de contacter leur fournisseur d'accès ou les autorités locales.