Oui, l’impact de NIS 2 sera tout aussi important que celui du RGPD en son temps. D’ailleurs, NIS 2 s’est inspirée des échelles de sanction de cette dernière. Et les années passées ont montré que ces sanctions ont été un bon levier d’accélération de la mise en conformité.
Quel est le périmètre de mon SI concerné par NIS 2 ?
L’évolution de la directive, pour ne pas dire la révolution, n’est pas anodine. Ça commence par l’élargissement à presque tous les secteurs d’activité, y compris le secteur public. Et ça continue avec un élément clé : la disparition des systèmes d’information essentiels (les fameux “SIE”) de NIS 1. Cela signifie que désormais l’intégralité du SI d’un très grand nombre d’acteurs économiques et d’entités publiques va devoir augmenter drastiquement son niveau de sécurité.
Quels sont les mesures de sécurité attendues pour NIS 2 ?
L’introduction d’une logique de proportionnalité entre les entités importantes et les essentielles permettra d’espérer un peu moins de contraintes pour les entités plus petites ou moins matures. Mais, même si la transposition en droit français n’est pas encore disponible, on sait d’ores et déjà que l’on va devoir traiter 10 thématiques en matière de protection et de sécurité des SI. Toute la Cyber en somme ? Ces 10 mesures pèsent lourd, allant des RH à la gestion des incidents, en passant par la sécurité des réseaux et des développements. Rien de neuf pour les spécialistes. Mais ces mesures vont devoir être rapidement et effectivement appliquées (probablement d’ici 2 à 3 ans).
À raison, l’Europe souhaite complexifier la tâche des attaquants qui pénètrent nos systèmes d’information beaucoup trop facilement. Le terrain a été préparé avec NIS 2 et les partages de l’ANSSI (notamment la publication de guides). Ne répétons pas les erreurs du RGPD à attendre le 17 octobre 2024 comme ils ont attendu le 25 mai 2018 pour s’y intéresser. La conformité à NIS 2 commence maintenant !
NIS 2 et la sécurité des tiers
Et l’écosystème, dans tout ça ? Une des 10 mesures concerne la sécurité de la chaîne d’approvisionnement. Et celle-là est bien nouvelle. L’Europe se met à la page et a constaté, comme tout le monde, que les attaques ne se font plus en direct, mais au travers des tiers pour faciliter le “rebond”. Ainsi, si vous espériez ne pas être concerné (il ne faut pas déjà être dans un des 18 secteurs ciblés), vous le serez probablement au travers des avenants et nouveaux contrats qui vont voir le jour en 2024, demandant un même niveau de sécurité qu’aux entreprises concernées par la directive.
Préparez dès aujourd’hui votre mise en conformité NIS 2
Et comme une réglementation n’arrive jamais seule… DORA, LPM 2024, CyberScore, LOPMI et autre futur texte sur l’IA vont emboîter le pas ! Ces textes partagent ou partageront de nombreuses similitudes avec NIS 2. La mutualisation des mises en conformité est plus que jamais nécessaire. Ça tombe bien, c’est un vecteur de gains de temps et d’argent. Alors démarrons la conformité dès à présent. Et n’attendez pas d’être désigné par arrêté. Cette fois-ci, cela n’arrivera pas : cela sera à vous de vous faire connaitre auprès de l’ANSSI !
Article initialement paru dans Cyberun