Ce site internet utilise des cookies. Voir notre politique de cookies
Fermer

La Directive sur la sécurité des réseaux et des systèmes d'information (Directive NIS)

La Directive sur la sécurité des réseaux et des systèmes d'information (Directive NIS) ((UE) 2016/1148) a pour objectif d'atteindre un niveau commun élevé de sécurité des réseaux et des systèmes d’informations dans toute l'Union Européenne. Les États membres de l'Union Européenne ont jusqu'au 9 mai 2018 pour transposer la Directive NIS dans leur législation nationale.

Téléchargez le guide de conformité
 

Le champ d'application de la conformité dans la Directive NIS : qui doit être conforme ?

La Directive s'applique à :

  • Opérateurs de services essentiels (OES - Operators of Essential Services) implantés dans l'Union Européenne et
  • Fournisseurs de service numérique (DSP - Digital Service Providers) offrant des services à des personnes au sein de l'Union Européenne1.

1La Directive ne concerne pas les DSP considérés comme des petites entreprises ou des microentreprises (entreprises employant moins de 50 personnes dont le chiffre d’affaires annuel ou dont le bilan total est inférieur à 10 millions d’euros).

 

La Directive NIS impose aux OES et DSP de :

  • Prendre les mesures techniques et organisationnelles appropriées pour sécuriser leurs réseaux et systèmes d'informations ;
  • Tenir compte des plus récents développements et considérer les risques potentiels auxquels leurs systèmes sont confrontés ;
  • Prendre les mesures appropriées de prévention des incidents de sécurité ou, au moins, pour en minimiser l'impact afin d'assurer la continuité du service ; et
  • Notifier l'autorité compétente pertinente de tout incident de sécurité revêtant un impact significatif sur la continuité du service sans délai indu.
  • Conséquences du défaut de conformité avec la Directive NIS

 

Conséquences du défaut de conformité avec la Directive NIS

Les États membres sont tenus de définir leurs propres règles de pénalités financières et de prendre les mesures nécessaires pour s'assurer de leur mise en œuvre. Il est probable que les États membres mettent en œuvre des pénalités similaires à celles du RGPD (Règlement Général sur la Protection des Données).

La conformité peut être surveillée avec des audits de routine des OES.

 

Un Opérateur de services essentiels (OES) : c'est quoi ?

La Directive NIS a pour ambition de renforcer la cybersécurité dans les secteurs dépendant fortement des technologies de l'information et de la communication (TIC). Certaines entreprises actives dans des secteurs stratégiques sont dénommées OES.

La Directive NIS affecte les secteurs suivants :

  • Eau ;
  • Énergie ;
  • Infrastructure numérique ;
  • Infrastructures des marchés bancaires et financiers ;
  • Santé ; et
  • Transport.

 

Q’est-ce qu’un fournisseur de service numérique (DSP) ?

La Directive NIS concerne les DSP clés suivants qui procurent normalement leurs services « contre rémunération, à distance par voie électronique et à la demande individuelle d'un destinataire de services ».

Les DSP peuvent être catégorisés selon les organisations suivantes :

  • Moteurs de recherche.
  • Services informatiques Cloud.
  • Marchés en ligne.

 

Exigences spécifiques de conformité pour les DSP :

La Directive dispose que les DSP « restent libres de prendre les mesures techniques et organisationnelles qu'ils jugent appropriées et proportionnées pour gérer les risques » tant que les mesures procurent un « un niveau de sécurité approprié » et factorisent les exigences de la Directive NIS.

Les DSP doivent assurer un niveau de sécurité approprié au risque posé par l'offre des services couverts en tenant compte des éléments suivants :

  • Sites et systèmes de sécurité
  • Gestion d'incident
  • Gestion de continuité de l'activité
  • Surveillance, audit et test
  • Conformité aux normes internationales

Le Règlement d'exécution de la Commission pour les DSP

Un Règlement d'exécution clarifie encore pour les DSP la manière dont ils doivent respecter la Directive NIS.

Outre les mesures de sécurité de l'information et de continuité de l'activité, les DSP doivent établir des mesures d'intervention sur incident selon une appréciation de la gravité de l'incident.

Le Règlement d'exécution entre en vigueur le 10 mai 2018 et s'applique à tous les États membres de l'Union Européenne.

Demandez des informations sur notre formation gestion des réponses aux incidents

 

Que faire pour assurer la conformité avec la Directive NIS ?

La meilleure approche d'acquisition de la conformité pour les DSP et OES est la mise en œuvre d'un programme de cyber-résilience intégrant les composants suivants :

  • Défenses de cybersécurité robustes.
  • Mesures préventives du cyber-risque adéquates.
  • Systèmes et outils appropriés de gestion et de signalement des incidents et violations des données.

 

Acquisition de la conformité via la cyber-résilience

L'article 19 de la Directive encourage le recours à des normes et spécifications européennes ou internationalement reconnues pour la sécurité des réseaux et des systèmes d'information.

La conformité avec la Directive NIS est envisageable en adoptant un système de gestion intégré, incorporant les normes ISO 27001 et ISO 22301. Il aide votre organisation à obtenir une posture internationalement acceptée de cyber-résilience sur la base des bonnes pratiques de gestion des risques – exactement comme la nouvelle législation l'exige – et la décharge du fardeau des multiples audits de conformité.

Téléchargez le guide de conformité

 

Pourquoi IT Governance ?

  • Nous proposons une gamme complète de services de conseil, de formations et d’outils nécessaires au respect de la Directive NIS.
  • Notre combinaison unique d'expertise technique et d'antécédents éprouvés dans le domaine des normes de système de gestion internationales signifie que nous savons offrir une solution complète pour la conformité et gérer un projet de A à Z.
  • Dans le cadre de notre travail avec des d'organisations de tous les secteurs, nous avons géré des centaines de projets dans le monde entier.
  • Nous sommes indépendants des prestataires et des organismes de certification et encourageons nos clients à sélectionner l'idéal pour leurs besoins et objectifs.
  • Nous comptons sur des équipes pluridisciplinaires à même d'entreprendre des tests d'intrusion rigoureux de vos systèmes et réseaux, des responsables de projet pour déployer des projets de mise en œuvre de la conformité et une expertise exécutive pour informer votre Conseil et développer une stratégie adéquate de mitigation du risque.
  • Nous offrons des conseils pratiques et œuvrons en fonction de votre budget et de vos impératifs organisationnels. Aucun projet ou entreprise n'est trop grand ou petit.
  • Nous proposons une tarification claire et transparente.