Quelles sont les organisations concernées par la nouvelle directive NIS2 ?
La directive NIS2 entrera en vigueur en octobre 2024. Il vous reste donc moins de 12 mois pour vous assurer que votre organisation soit prête !
Résultat : Entité essentielle
Votre organisation est classée comme fournisseur de services essentiels. Il s'agit de la catégorie d'organisations la plus fortement impactée par la nouvelle directive. Dans le cas de ces entités essentielles, la surveillance de la conformité sera proactive. Cela signifie que le respect de la législation sera activement contrôlé et ce dès la date d’application en octobre 2024 pour vérifier les mesures prises et protocoles mis en place pour augmenter la résilience. S'il s'avère, suite à un contrôle ou un incident que votre organisation n'a pas pris les mesures nécessaires, vous risquez d'être confronté aux conséquences du non-respect de cette législation.
Obligations et conséquences
Avec l'introduction de la directive NIS2, de plus en plus d’organisations doivent adopter des normes de cybersécurité complètes et les entitées essentielles prendre des mesures opérationnelles pour gérer les menaces à la sécurité. Elles doivent notamment procéder à des sauvegardes, à des évaluations des risques et au signalement obligatoire des incidents qui ont un impact significatif sur la prestation de services.
Comme évoqué précédemment, une autre conception importante de la directive fera entrer de très nombreuses organisations dans le champ d'application de NIS2. Il s’agit de la chaine de sous-traitance. Même si ces organisations ne sont pas elle-même soumises à la directive, si des organisations qui le sont, les utilisent, alors en tant que sous-traitant vous serez soumis également à la directive. Vous devrez donc déterminer si vos partenaires peuvent entrer dans cette catégorie et en fonction, vous préparez vous même à être compliance avec la nouvelle directive !
Devoir de surveillance et de notification
Toutes les organisations couvertes par la directive NIS2, qu'elles soient essentielles ou importantes, devront commencer à remplir dès la date d’application du 18 octobre 2024, leur devoir de surveillance de l’activitée malveillante. En outre, elles auront l'obligation de notification dans un délais de 24 heures suivant la découverte d'un incident.
Pour ce faire, Claranet est capable de vous accompagner sur la résilience de vos infrastructures, la mise en place de solution de sauvegarde, de PRA/PCA. Mais aussi pour nos clients en infogérance au travers de nos cartes de modernisation notamment sur la sécurité. Claranet propose également un large éventail de services de sécurité managés par une équipe d’experts avec une double approche offensive & défensive.
En savoir plus sur notre expertise cyber sécurité…
Amendes et sanctions
La directive NIS2 prévoit également une série de mesures punitives obligatoires, telles que des inspections sur place, des audits de sécurité, des contrôles de sécurité, des demandes d'informations et l'accès aux données. Si certaines mesures punitives sont identiques pour tous les pays, d'autres ne le sont pas, comme les conséquences en cas d'infraction grave. Dans ce cas, il appartient aux pays eux-mêmes de mettre en place des mesures punitives efficaces, proportionnées et dissuasives. Le type de mesure punitive (pénale ou administrative) est également déterminé par le pays lui-même et doit être adapté à la gravité et à la nature de l'infraction, et prendre en compte des facteurs tels que les dommages causés, la coopération avec l'autorité compétente et d'autres circonstances.
Les amendes administratives peuvent être imposées en plus ou à la place d'autres mesures, selon le cas. Les mêmes éléments que pour les autres mesures punitives doivent être pris en compte lors de l'octroi d'une amende administrative. Les infractions peuvent donner lieu à des amendes administratives pouvant aller jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial de l'entreprise, le montant le plus élevé étant retenu. Les régulateurs locaux devront élaborer leur propre politique en matière d'imposition de telles amendes.
Pour commencer ?
La directive NIS2 entrera en vigueur en octobre 2024. Il vous reste donc moins de 12 mois pour vous assurer que votre organisation est prête !
Pour ce faire, Claranet est capable de vous accompagner sur la résilience de vos infrastructures, la mise en place de solution de sauvegarde, de PRA/PCA. Mais aussi pour nos clients en infogérance au travers de nos cartes de modernisation notamment sur la sécurité. Claranet propose également un large éventail de services de sécurité managés par une équipe d’experts avec une double approche offensive & défensive.
En savoir plus sur notre expertise cyber sécurité…