En octobre 2024, tous les États membres de l’UE devront avoir transposé la nouvelle directive NIS2 dans leur législation.
En Belgique, au moins deux mille entreprises doivent se préparer à respecter des conditions strictes en matière de cybersécurité.
Si la mise en œuvre intégrale de cette directive promet d’être difficile, le sujet ne devrait toutefois plus faire débat au niveau des entreprises. La cybersécurité devrait faire partie intégrante d’une bonne gestion dans toute organisation.
La directive NIS2 succède au premier cadre NIS entré en vigueur en 2019.
Il s’agit de la petite sœur technique du RGPD qui a imposé des règles en matière de respect de la vie privée aux organisations européennes.
Mais alors que le RGPD a été largement médiatisé, entre autre par le biais d’une foule de campagnes de communication, en ce qui concerne la directive NIS, les entreprises restent dans le flou. Et les amendes seront plus sévères encore…
La législation initiale visait un nombre restreint d’opérateurs. Cependant, après son entrée en vigueur, le législateur a très rapidement compris qu’une telle réglementation devait avoir un impact beaucoup plus large que sur les opérateurs de services essentiels.
Et les amendes seront plus sévères encore…
Tous les secteurs suivants seront inclus: énergie (électricité, pétrole, gaz, chauffage urbain et hydrogène), transports (aérien, ferroviaire, par voie navigable et routier), banques, infrastructures des marchés financiers, santé (y compris les laboratoires et la recherche concernant les produits pharmaceutiques et les dispositifs médicaux), eau potable, eaux usées (mais seulement s’il s’agit d’une activité principale), infrastructures numériques (télécoms, DNS, TLD, centres de données, services de confiance, services cloud), services numériques (moteurs de recherche, marchés en ligne, réseaux sociaux), espace, services postaux et de distribution de courrier, gestion des déchets, Produits chimiques (production et distribution),
Toute entité impliquée dans les services IT gérés et les services de sécurité IT gérés devra respecter la directive.
N’attendez surtout pas octobre 2024 pour prendre des mesures en matière de cybersécurité.
En s’appuyant sur des référentiels comme ISO 27000, C’est possible…
Certains points peuvent déjà faire l’objet de votre attention:
Voici quelques aspects auxquels vous pouvez d’ores et déjà réfléchir :
- La gestion des incidents
- La notification des incidents
- La continuité des activités
- Les gestion des actifs (inventaire)
- Les contrôle des accès, qui a accès à quoi
- La sensibilisation à la sécurité (le plus grand risque se situe entre le clavier et l’écran)
Liens utiles:
CCB belgium