Norme NIS2 : ce que vous devez savoir pour votre entreprise en 2024

La norme NIS2 (Network and Information Systems Directive 2) représente une avancée majeure dans le domaine de la cybersécurité. Adoptée pour répondre aux défis induits par les cybermenaces, cette directive de l'Union européenne impose des exigences strictes en matière de sécurité, allant de la protection des données à la gestion des accès physiques. Dans cet article, nous explorerons en détail les implications de cette nouvelle norme de sécurité pour votre organisation et les mesures que vous pouvez prendre pour renforcer votre sécurité et devenir conforme au NIS2.

Comprendre la directive NIS2

La directive NIS2, successeur de la première directive de l'Union européenne sur la cybersécurité introduite en 2016, souligne l'importance cruciale de la sécurité dans notre économie moderne actuelle. Face aux menaces croissantes, elle vise à renforcer la résilience et la capacité de réaction aux incidents de cybersécurité au sein de l'UE, tout en favorisant la communication entre les États membres et l'Agence de l'Union européenne pour la cybersécurité (ENISA).

Qui est concerné par la directive NIS2 ?

La nouvelle version NIS2 (héritière de la NIS1,) élargit son spectre d'application. Elle maintiendra sa portée sur les secteurs déjà régis par la NIS1, tels que : 

• Les établissements de santé
• Les banques
• Les transports

Et s'étend à de nouveaux domaines d'activité comme : 

• L’alimentation
• Les administrations publiques
• Les fabricants de produits chimiques et pharmaceutiques
• Les fournisseurs de services numériques
• Le secteur spatial
• Les réseaux d’eaux usées et de gestion de déchets
• Les services postaux
  
  

Pour ce qui est de l'administration publique, sont incluses les entités qui correspondent aux critères suivants :

• Ce sont les seuls prestataires d'un service dans un État membre de l'UE 
• Ces entités sont considérées comme critiques en raison de leur importance au niveau régional ou national pour un secteur ou un type de service spécifique, ou pour d'autres secteurs interdépendants de l'État.
• Une perturbation de leurs services pourrait impacter la sûreté publique, la sécurité publique ou la santé publique
• Une perturbation de leurs services pourrait engendrer des risques systémiques

Un autre changement majeur réside dans son extension au secteur privé, touchant des milliers d'entreprises, des PME aux grands groupes comme ceux du CAC40.

En revanche, les entreprises de moins de 50 salariés ne sont pas concernées par ces nouvelles dispositions sauf si les services sont fournis par :

• Des réseaux publics de communications électroniques ou des services de communications électroniques accessibles au public
• Des fournisseurs de services ou de confiance
• Des registres de noms de domaine de premier niveau (TLD) ou des fournisseurs de services DNS

Enfin, la NIS2 introduit une troisième évolution significative : l'intégration d'un mécanisme de proportionnalité ! On vous explique : elle distingue deux catégories d'acteurs régulés selon un “niveau de criticité” : les entités essentielles et les entités importantes.

‍

‍

Norme NIS2, pour quand ?

Les États membres de l’UE ont 21 mois à partir de cette date pour la transposer dans leur législation nationale. Étant donné que la NIS2 a été adoptée en novembre 2022, elle doit être transposée par chaque État membre de l’UE en droit national, au plus tard en octobre 2024.

Quelles sont les mesures à déployer pour être conforme ?

• Réaliser un audit de la structure pour analyser les risques encourus
• Mettre en place des mesures pour assurer la continuité des activités en cas d'incident
• Sécuriser les réseaux, y compris le traitement et la divulgation des données
• Former les collaborateurs aux bonnes pratiques 
• Utiliser des techniques de chiffrement des données
• Mettre en place un contrôle d'accès exemplaire pour éviter les intrusions
• Utiliser des solutions d'authentification multifacteur (MFA) 
• Signaler systématiquement un incident de sécurité de façon détaillée à l'ANSSI dans les 24 heures suivant sa découverte puis réaliser une évaluation de son impact dans les 72 heures suivantes.

L'importance du contrôle d'accès dans le cadre de la directive NIS2

Les cybermenaces ne se limitent pas aux ordinateurs et aux serveurs. La directive NIS2 souligne également l'importance de la sécurité physique au sein des bâtiments. 

Tout appareil connecté peut constituer une vulnérabilité. Les systèmes de contrôle d'accès sont également exposés à des risques. Par conséquent, il est crucial d'adopter une approche globale de la sécurité.

‍3 bonnes pratiques pour un contrôle d’accès conforme au NSI2‍

‍Investir dans un contrôle d’accès robuste, disposant de mesures de protection avancées telles que des protocoles de cryptage de données entre les lecteurs et les contrôleurs d’accès, comme le standard OSDP. Ou encore veiller à utiliser des technologies de badges sécurisés comme le MIFARE DESfire.

S’orienter vers un contrôle d’accès avec une fonction intégrée de monitoring. Elle garantit une surveillance proactive des systèmes de contrôle d’accès à distance, assurant ainsi une détection précoce et une gestion efficace des problèmes potentiels avant qu'ils n'impactent sérieusement la sécurité du bâtiment.

Opter pour un contrôle d’accès avec mises à jour régulières et automatiques des systèmes afin d'être toujours à jour en matière de sécurité.
La plupart des systèmes de contrôle d'accès traditionnels requièrent des mises à jour manuelles via une clé USB, nécessitant le déplacement d’un technicien, ce qui ne permet pas d’être réactif face aux évolutions rapides des menaces actuelles.

Contrairement à un contrôle d’accès traditionnel, un contrôle d’accès cloud tel que Welcomr peut vous apporter tous ces bénéfices. 

Augmenter la sécurité sans compromis sur l’expérience utilisateur : un système de contrôle d’accès Cloud comme Welcomr dispose de diverses fonctionnalités pour répondre à ces enjeux : traçabilité et historique, accueil visiteur avec révocation automatique des droits d’accès, codes d’accès individuels et éphémères (au lieu de codes dédié à un point d'accès, bien plus faciles à compromettre), authentification 2F pour des accès sensibles... 100% des fonctionnalités sont conformes au RGPD.

Trouver la juste mesure et méthode de contrôle d'accès peut s'avérer compliqué. Il faut à la fois assurer le maximum de sécurité tout en restant acceptable pour les utilisateurs. Selon la sensibilité et l’usage d'une zone ou d’un accès, différents niveaux de sécurité peuvent être nécessaires. Nos équipes sont là pour vous conseiller .

‍

Sanctions si non respect de la NIS2

Les dirigeants d'entreprises doivent prendre cette nouvelle norme de sécurité au sérieux. Le non-respect de ces obligations peut entraîner des sanctions financières importantes ainsi que des conséquences sur la réputation de l'entreprise.

Les États membres pourront sanctionner une entreprise et sa direction si elles ne respectent pas les normes de cybersécurité. Les autorités peuvent exiger que les failles de sécurité internes soient rendues publiques et que l'entreprise fasse une déclaration détaillée sur la violation et ses responsables. Les entreprises essentielles risquent des sanctions plus sévères, comme la suspension de certifications et d'autorisations, et les dirigeants pourront être personnellement tenus responsables, y compris par une interdiction temporaire d'exercer.

‍

Les conseils d'administration sont donc tenus de jouer un rôle actif dans la gestion des risques liés à la sécurité et la mise en œuvre de mesures de conformité NIS2. Ce sera à L'ANSSI d'effectuer des vérifications qui pourraient conduire à des injonctions en cas de non-conformité sur le territoire Français.

Conclusion

Lla directive NIS2 représente une étape importante dans la protection des systèmes d'information et des infrastructures physiques contre les cybermenaces. En adoptant une approche proactive et globale de la sécurité, les organisations peuvent non seulement se conformer à cette norme, mais aussi renforcer leur résilience face aux menaces émergentes dans un environnement numérique en constante évolution.

Pour être en conformité avec la NIS2 et en savoir plus sur la manière dont nous pourrions améliorer vos systèmes de contrôle d’accès et de sécurité physique, échangez dès aujourd'hui avec un de nos experts.

‍

‍

‍

‍

‍

‍