Le délai NIS2 approche : votre entreprise est-elle prête ?
Le nombre de cyberattaques et cyberincidents connaît une forte augmentation ces dernières années. En outre, les hackers sont de plus en plus créatifs, menaçant à cet égard les entreprises de ransomware, de fuites de données, d'hameçonnage, de fraude au CEO ou de communications sur le dark web.
Pour s'attaquer à ce phénomène inquiétant et renforcer la résilience numérique et économique des États membres européens, l'Union européenne s'est attelée à la nouvelle directive NIS2. Cette réglementation succède à la directive NIS1 approuvée en 2016. NIS est l'abréviation de Network and Information Security Directive.
NIS1 versus NIS2
Dans la NIS1 - qui a été transposée le 7 avril 2019 dans une loi NIS belge - les entreprises de secteurs spécifiques (les entreprises dites « essentielles ») devaient prendre des mesures de sécurité minimales et signaler les cyberincidents graves. La NIS2 place la barre un peu plus haut, avec davantage d'entreprises qui devront agir pour s'armer contre les visiteurs numériques indésirables.
La directive européenne NIS2 est en vigueur depuis le 16 janvier 2023 pour tous les États membres de l'Union européenne. Tous les États membres, y compris la Belgique, doivent transposer cette directive dans une loi pour le 17 octobre 2024.
Comment bien vous préparer, en tant qu'entreprise, à une éventuelle mise en ?uvre NIS2 ?
Sensibilisation
D'abord, la sensibilisation est essentielle. Vous devrez investir dans des formations étendues pour les travailleurs à tous les niveaux afin de les sensibiliser aux éventuelles cybermenaces et aux exigences de la NIS2. Ceci comprend la reconnaissance d'attaques d'hameçonnage, la manipulation en toute sécurité d'informations sensibles et la compréhension du rôle joué par chaque individu dans la garantie de la cybersécurité.
Gestion des risques
La gestion des risques est un autre pilier crucial en guise de préparation à la NIS2. Votre entreprise doit effectuer une analyse des risques approfondie pour identifier les vulnérabilités du réseau et des systèmes informatiques. Sur cette base, vous devez mettre en ?uvre des mesures de sécurité adéquates pour réduire ou éliminer ces risques. Ceci comprend l'actualisation régulière des logiciels, la mise en place de contrôles d'accès solides et le contrôle des activités réseau.
Rapport aux autorités
Le rapport aux autorités est obligatoire sous NIS2. Les entreprises doivent développer des procédures pour détecter les incidents, les enregistrer et les signaler aux autorités pertinentes dans les délais fixés. Cela requiert une compréhension claire des exigences de signalement et un plan de réponse aux incidents efficace.
Continuité de l'entreprise
La continuité de l'entreprise est vitale pour minimiser l'impact de cyberattaques. Votre entreprise doit établir des plans de sauvegarde et de relance robustes pour limiter les perturbations opérationnelles et se relever rapidement d'incidents. Cela comprend le test régulier des procédures de relance et la mise à jour des plans pour répondre aux menaces et environnements d'entreprises changeants.
Fournisseurs
Enfin, la collaboration avec les fournisseurs est essentielle. Investissez dans des mesures de protection pour évaluer vos fournisseurs et passer des accords contractuels de façon à faire en sorte qu'ils répondent aux exigences NIS2. Ceci comprend la définition de responsabilités et l'évaluation régulière du respect des fournisseurs.
Éviter les sanctions
Si après contrôle, il devait s'avérer que ces règles ne sont pas correctement appliquées ou respectées, le Centre pour la Cybersécurité Belgique (CCB) peut imposer des sanctions.
Pour les entités essentielles, le CCB peut infliger des amendes administratives jusqu'à maximum 10 millions d'euros ou au moins 2 % du chiffre d'affaires mondial annuel total, selon le montant le plus élevé.
Pour les entités importantes, l'amende peut atteindre maximum 7 millions d'euros ou au moins 1,4 % du chiffre d'affaires mondial annuel total, selon le montant le plus élevé.
Compte tenu du délai NIS2 qui approche à grands pas et des points d'action correspondants, il est judicieux d'agir pour une mise en ?uvre fructueuse des points d'action NIS2.
