La NIS2 entre en vigueur – quels préparatifs les entreprises industrielles doivent-elles entreprendre ?

L’objectif de la directive NIS2 (UE) 2022/2555 est de répondre à l’évolution rapide de l’environnement des cyber-opérations et d’améliorer le niveau de sécurité dans l’espace européen. Le champ d’application de la directive englobe les acteurs dont les activités sont considérées comme critiques pour la société. La directive exige par conséquent des mesures dans divers secteurs industriels – ou du moins un examen plus approfondi des processus. La directive européenne NIS2 est entrée en vigueur en janvier 2023. Les États membres ont jusqu’à octobre 2024 pour la transposer dans leur droit national. Aujourd’hui déjà, de nombreuses informations sont disponibles sur la nouvelle directive. C’est une raison suffisante pour commencer à se préparer sans tarder.

Dans cet article, vous apprendrez ce qu’il faut entendre par la directive NIS2, quels sont les secteurs concernés et quelles sont les exigences imposées aux exploitants. Et nous vous informons des solutions qui vous permettront d’atteindre plus facilement les exigences.

Qu’est-ce que NIS2 ?

NIS2 est une directive sur la cybersécurité (UE 2022/2555) qui vise à améliorer le niveau de cybersécurité dans l’UE et ses États membres. La directive fixe des exigences minimales auxquelles les opérateurs couverts par la directive doivent se conformer, sous peine de sanctions. Parmi ces exigences figurent la gestion des risques et l’obligation de faire rapport afin de renforcer la cybersécurité. La date limite pour la transposition de la directive dans le droit national des États membres est octobre 2024. Elle remplace l’ancienne directive sur la sécurité des réseaux et de l’information NIS1 (directive NIS1, 2016/1148).

Quels sont les secteurs concernés par la directive NIS2 ?

Le champ d’application des secteurs industriels concernés par la NIS2 a presque doublé par rapport à son prédécesseur, la NIS1. Ainsi, le champ d’application de la directive a été étendu aux secteurs industriels tels que la gestion des déchets et l’industrie alimentaire. Le NIS2 a été étendu au secteur de l’énergie et aux entreprises actives dans le domaine de la santé. En général, le règlement s’applique aux moyennes et grandes entreprises, avec des exceptions (les exceptions sont expliquées plus en détail à l’article 2, paragraphes 3 et 4, de la directive). L’élément déterminant est que l’entreprise est considérée comme critique pour la société et qu’une surveillance plus étroite de ses activités est donc jugée appropriée. En cas de non-respect de la directive, les sanctions peuvent aller jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial.

La directive classe les entreprises concernées en deux catégories : Indispensable (Critical) et Important (Important). Cette répartition est pertinente pour le système de contrôle et de sanction.

CRITICAL

Énergie
  • Électricité
  • Chauffage urbain
  • Pétrole/gaz naturel
  • Hydrogène
Eau
  • Eau potable
  • Eaux usées
Santé
  • Produits pharmaceutiques
  • Dispositifs médicaux
  • Recherche médicale
  • Fournisseur de soins de santé
  • Travailleur
Infrastructure numérique
  • Fournisseur de services en nuage
  • Centres de données
  • Réseaux & services de communication
ICT Service Management
  • Services gérés
  • Services de sécurité gérés
Transport
  • Transport aérien
  • Transport ferroviaire
  • Trafic routier
  • Navigation
Banques et marchés financiers
  • Institut du crédit
  • Places de négoce
Espace
  • Infrastructures terrestres des services spatiaux
IMPORTANT

Courrier et messagerie
  • Services postaux et de courrier
Déchets
  • Gestion des déchets
Produits chimiques
  • Production
  • Production
  • Commerce
  • Produits
Alimentation
  • Production
  • Traitement
  • commerce de gros
Production
  • Dispositifs médicaux
  • Ordinateur
  • Électronique
  • Optique
  • Équipement électrique
  • Génie mécanique
  • Produits énergétiques & pièces
  • Construction de véhicules
Services numériques
  • Places de marché
  • Moteurs de recherche
  • Réseaux sociaux
Recherche
  • Instituts de recherche (hors établissements d’enseignement)

Exigences NIS2

Dans la NIS2, les organes de direction et le top management jouent un rôle encore plus central et actif dans l’amélioration de la cybersécurité. Il est important que le niveau de sécurité des réseaux et des systèmes informatiques soit proportionnel aux risques.

Les exigences minimales de NIS2 comprennent:

  1. Directives propres à l’entreprise pour l’analyse des risques et la sécurité des systèmes informatiques
  2. Gestion des écarts par rapport aux directives
  3. Gestion de la continuité des activités, par exemple planification de la sauvegarde et de la récupération et gestion de crise
  4. Sécuriser la communication tout au long de la chaîne d’approvisionnement, y compris les relations entre l’entreprise, ses fournisseurs directs ou ses prestataires de services
  5. Garantir les normes de sécurité lors de l’acquisition, du développement et de la maintenance des systèmes de réseau et d’information, y compris la gestion et la divulgation des vulnérabilités
  6. Examen et évaluation de l’efficacité des mesures individuelles dans le cadre de la gestion des risques en matière de cybersécurité
  7. Pratiques de base en matière de cyber-hygiène et formation à la cyber-sécurité
  8. Principes de fonctionnement et directives pour l’utilisation de la cryptographie et du cryptage
  9. des directives sur le contrôle d’accès, la protection des données personnelles et la gestion des installations et des équipements
  10. Si nécessaire, l’utilisation de solutions d’authentification à plusieurs niveaux ou d’authentification continue, de communications vocales, vidéo et textuelles sécurisées et de systèmes de communication d’urgence sécurisés dans l’entreprise

(Source : Directive NIS2 (UE) 2022/2555, 21)

En outre, les entrepreneurs doivent s’occuper de l’obligation de notification. Cela signifie par exemple que les entreprises doivent transmettre à l’autorité de surveillance, dans les 24 heures, la première notification concernant d’éventuelles cybermenaces qui auraient pu entraîner un risque important. La notification ultérieure doit être envoyée dans les 72 heures et le rapport final dans un délai d’un mois (= obligation de notification en trois étapes).

octoplant contribue à satisfaire aux exigences minimales de la directive NIS2 :

octoplant est une plateforme logicielle modulaire qui combine le contrôle de version, la sauvegarde et la cybersécurité des logiciels d’automatisation et des appareils OT. Lisez dans les paragraphes suivants comment les différents modules d’octoplant (en illustration) aident à répondre aux exigences de NIS2.

Analyse des risques et politique de sécurité

Le module Threat Protection est un outil puissant pour effectuer des analyses de risques dans l’environnement OT. Il aide à identifier les vulnérabilités dans l’environnement de production et les évalue en fonction du risque attendu. De cette manière, les entreprises obtiennent une vue d’ensemble fiable des vulnérabilités et peuvent les prioriser à temps.

Prévention et gestion des écarts

Le module Threat Protection accède aux bases de données internationales sur les cyber-risques (CVE, CERT et CISA) et signale automatiquement les menaces potentielles en fonction de la base installée. En outre, des sauvegardes automatiques et des comparaisons de composants garantissent que des modifications non autorisées ne passent pas inaperçues et que la dernière sauvegarde fonctionnelle peut être rapidement lancée en cas de besoin. octoplant est ainsi en mesure de protéger l’environnement du bloc opératoire de manière préventive et permet de réagir rapidement en cas de panne et de rétablir le fonctionnement.

Gestion de la continuité des activités et des risques

Comme vous disposez à tout moment de l’historique complet de toutes les versions et sauvegardes, vous pouvez rapidement retrouver la dernière version en parfait état, la restaurer dans le système concerné et reprendre votre production dans les plus brefs délais.

Acquérir, développer et entretenir en toute sécurité des systèmes de réseau et IT/OT, y compris la communication des vulnérabilités.

octoplant est un outil de gestion des changements qui gère et documente les modifications dans l’environnement OT, que vous fassiez appel à des fournisseurs externes ou à des prestataires de services. Le reporting sur les points faibles éventuels facilite leur gestion et la communication vers l’extérieur, comme par exemple lors du respect de l’obligation de déclaration NIS2.

Gestion des accès et sécurisation tout au long de la chaîne d’approvisionnement

Dans octoplant, vous pouvez créer un contrôle utilisateur pour chaque composant individuel. Cela signifie que les collaborateurs, les conseillers externes ou les autres utilisateurs du système n’ont accès qu’aux composants ou aux fichiers qui les concernent. La gestion des utilisateurs garantit en outre que n’importe qui ne peut pas supprimer ou ajouter des informations au système. L’historique permet de voir que les modifications ont été effectuées comme convenu. Cela renforce la sécurité de la chaîne d’approvisionnement de l’entreprise et permet de travailler efficacement avec les installations qui sont précisément pertinentes pour la continuité de la production.

Audit continu – évaluation de l’efficacité des mesures de gestion des risques dans le domaine de la cybersécurité

Avec octoplant, vous savez qui a fait quoi, quand et pourquoi. Les modifications qui se produisent en dehors du système sont également enregistrées et versionnées grâce à la fonction de sauvegarde automatique. Grâce à octoplant, il est possible d’implémenter facilement des méthodes d’exploitation permettant de gérer et d’évaluer les risques de cybersécurité de l’entreprise.

Résumé

La directive NIS2 s’applique à un nombre sans cesse croissant d’entreprises industrielles. Les directives visent à améliorer la cybersécurité dans l’UE et ses États membres en définissant des exigences minimales en matière de rapports et de gestion des risques. Tous les détails ne sont pas encore connus, mais la directive NIS2 devrait déjà faire partie de la législation européenne en octobre 2024. Les entreprises concernées feraient bien de commencer à se préparer dès maintenant. De manière générale, les menaces dans l’environnement numérique ont fortement augmenté ces dernières années et même sans l’entrée en vigueur de la directive, il est vivement recommandé de se protéger.

Avec octoplant, vous pouvez effectuer des analyses de risques fiables, recevoir des notifications en cas de modifications suspectes et savoir qui a fait quoi et pourquoi. En outre, une sauvegarde automatique et sa comparaison garantissent que les productions fonctionnent avec les bons projets et qu’en cas d’incohérence, il est possible de rétablir à tout moment l’état de travail précédent.

NIS2 – Stricter Cybersecurity Regulations for Production

Harsh penalties starting in 2024: Is your company compliant?

16 pages / en anglais

octoplant pourrait-elle aussi être une solution pour votre entreprise ?

Prenez tout de suite rendez-vous. Nous vous montrerons volontiers comment octoplant peut vous aider à relever les défis de votre entreprise en ce qui concerne les exigences NIS2.

plus d'insights