Aujourd’hui les systèmes informatiques font partis de la réalité des entreprises. Véritable efficacité pour le traitement des données internes, ils ne sont pas infaillibles et font, tous les jours, l’objet de cyber attaques par des rançongiciels, des hacks ou encore du phishing. L’échange et la revente de données à caractère personnel sont devenus le nouvel or noir pour les hackers non éthiques.
Ainsi, pour lutter contre ce phénomène et renforcer la sécurité des activités des entreprises, une nouvelle directive a été adoptée : la directive sur la sécurité des réseaux et de l’information (NIS 2). Ses objectifs vont être de renforcer la première directive NIS 1 datant de 2016 et d’installer un niveau élevé de cybersécurité pour les entreprises, ne disposant pas d’une expertise dans ce domaine.
Un périmètre va d’ailleurs être établi pour savoir si une entité est concernée ou non par ces nouvelles dispositions. Si vous souhaitez savoir précisément, si votre entreprise est soumise à cette nouvelle réglementation alors il conviendra de regarder les annexes de la directive qui expliquent les tailles des entreprises et les secteurs d’activité visés ou de réaliser le test proposé sur le site internet de l’Agence Nationale de la sécurité et des systèmes d’information (ANSSI).
Plus généralement, la directive NIS 2 vise les entités exerçant des activités dites « importantes » (critiques) comme le numérique, les services postaux, les services publics ou encore le secteur industriel. Néanmoins, elle tiendra toujours compte des entreprises exerçant des activités dites « essentielles » comme l’eau, l’énergie, la santé etc (hautement critiques).
Les critères toucheront toutes les entreprises de plus de 50 salariés réalisant un chiffre d’affaires de 10 millions d’euros par an et entrant dans les activités précitées. Cela pourra aller des petites et moyennes entreprises aux entreprises du CAC 40.
Pour assurer un niveau de sécurité élevé et commun pour les réseaux et les systèmes d’information de l’Union européenne, les entreprises devront installer des politiques de gestion des incidents et une analyse des risques méthodologiques. En cas d’incidents, il sera primordial de réaliser un protocole de déclaration et de le transmettre au centre des réponses aux incidents, dédié aux entités implantées sur le territoire régional.
Pour assurer l’effectivité de ces dispositions, un contrôle s’effectuera par le biais de l’ANSSI. Les entreprises devront être en mesure de prouver leur conformité par de la documentation. A défaut, cela pourra conduire à la suspension des cadres dirigeants ou des amendes pécuniaires comme 10 millions d’euros ou 2% du chiffre d’affaires annuel total pour une activité essentielle et 7 millions d’euros ou 1.4 % du chiffre d’affaires annuel pour les activités importantes.
Cependant, il sera possible d’échapper à ces sanctions. A partir du moment où votre entreprise est assujettie à cette directive, il sera préférable de faire appel à une société de conseil en cybersécurité ou encore l’opérateur de votre structure qui réaliseront des audits de conformité (aux alentours de 4000 euros) afin d’éviter toute illégalité. Finalement, le changement est proche car cette directive devrait entrer en vigueur courant octobre 2024.
